概要
オープンソースのデバイス管理ソフトウェア「Fleet」において、Android MDM(モバイルデバイス管理)機能のPub/Sub処理に脆弱性(CVE-2026-24004)が発見されました。この脆弱性により、認証されていないリクエストによってAndroidデバイスの登録解除イベントがトリガーされる可能性があります。結果として、攻撃者が特定のAndroidデバイスをFleetの管理下から不正に解除できる恐れがあると報告されています。
この問題は、Fleetへのアクセス権限の取得、コマンドの実行、またはデバイスデータの可視化には繋がらないとされており、影響は対象デバイスのAndroidデバイス管理機能の停止に限定されます。本脆弱性はFleetのバージョン4.80.1で修正されています。
影響範囲
- Fleetのバージョン4.80.1より前のバージョン
- Android MDM機能が有効になっている環境
想定される影響
本脆弱性が悪用された場合、攻撃者は細工されたリクエストをAndroid Pub/Subエンドポイントに送信することで、認証なしに特定のAndroidデバイスをFleetの管理下から登録解除できる可能性があります。これにより、対象デバイスに対するMDMポリシーの適用や監視が停止し、一時的に管理機能が失われる恐れがあります。
ただし、この脆弱性によって攻撃者がFleetシステムへの不正アクセス権限を得たり、デバイス上で任意のコマンドを実行したり、デバイス内のデータにアクセスしたりするものではないと報告されています。
攻撃成立条件・悪用状況
- 成立条件:
- Fleetの脆弱なバージョン(4.80.1未満)が稼働していること。
- Android MDM機能が有効になっていること。
- 攻撃者がFleetのAndroid Pub/Subエンドポイントにアクセスできること。
- 悪用状況:
現在のところ、この脆弱性の悪用状況に関する具体的な情報は報告されていません。
推奨対策
最優先で実施すべき対策
- Fleetのアップグレード:
直ちにFleetをバージョン4.80.1以降にアップグレードしてください。これにより、本脆弱性が修正されます。
中長期的な対策
- ソフトウェアの定期的なアップデート:
利用している全てのソフトウェアについて、定期的に最新のセキュリティパッチが適用されているかを確認し、常に最新の状態を維持する運用体制を確立してください。
- アクセス制御の強化:
MDMシステムへのアクセス制御を強化し、不必要なネットワークからのアクセスを制限するなど、多層的な防御策を検討してください。
一時的な緩和策
直ちにアップグレードが困難な場合は、一時的にAndroid MDM機能を無効にすることを検討してください。ただし、この措置はAndroidデバイスの管理機能が停止することを意味するため、業務への影響を十分に評価した上で実施する必要があります。
確認方法
- 現在利用しているFleetのバージョンを確認してください。
- Fleetの管理画面でAndroid MDM機能が有効になっているか確認してください。
参考情報
- CVE-2026-24004の詳細情報: https://cvefeed.io/vuln/detail/CVE-2026-24004