Разработчики системы для анализа безопасности мобильных приложений MobSF (Mobile Security Framework) исправили уязвимость, обнаруженную экспертом PT?SWARM Олегом Сурниным. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО. Об этом CNews сообщили представители Positive Technologies.
Уязвимость CVE-2024-31215 (BDU:2024-03055) получила оценку 6,3 балла по шкале CVSS 3.1. Для ее устранения необходимо установить MobSF версии 3.9.8 или выше.
Платформа широко распространена среди разработчиков и исследователей безопасности. Инструмент входит в состав популярных дистрибутивов операционных систем для тестирования на проникновение, таких как, например, BlackArch. Фреймворк также востребован в задачах, связанных с выстраиванием процесса безопасной разработки. MobSF используют как независимые эксперты, так и компании, специализирующиеся на создании мобильных приложений и проведении пентестов.
В случае неустранения уязвимости для успешной атаки могло быть достаточно, чтобы пользователь загрузил в MobSF вредоносное мобильное приложение. Это может произойти, например, в ходе расследования инцидентов: специалисты по ИБ c помощью MobSF проверяют используемые в компании программы, которые могут показаться им подозрительными и нести потенциальную угрозу.
«В мобильных приложениях часто используются облачные базы данных Firebase, которые компания Google предоставляет по модели "бэкенд как услуга“. Система MobSF в процессе проверки безопасности приложения анализирует защищенность таких баз данных, например их доступность без авторизации. Атакующий мог бы написать вредоносное приложение таким образом, чтобы анализатор MobSF вместо запроса к базам данных Firebase открывал специально подготовленную злоумышленником вредоносную ссылку, откуда могла идти переадресация к ресурсам внутри сетевого контура исследователя или его компании. В зависимости от того, какой софт находится внутри сетевого периметра, атака могла бы привести к исполнению кода, краже приватных данных или другим последствиям», — сказал Олег Сурнин, руководитель группы исследований безопасности мобильных приложений Positive Technologies.
Уязвимости такого вида, по словам Олега Сурнина, возникают в тех случаях, когда в приложении не используются механизмы проверки легитимности ресурсов, к которым выполняется запрос. Для блокировки попыток эксплуатации уязвимостей эффективно применение межсетевых экранов уровня веб-приложений, например PT Application Firewall (у которого также есть облачная версия — PT Cloud Application Firewall). Снизить риски эксплуатации уязвимостей помогут средства защиты на конечных устройствах класса EDR, например MaxPatrol EDR. Это решение позволяет обнаружить вредоносную активность, оперативно отреагировать, отправить уведомление в MaxPatrol SIEM и не дать злоумышленнику продолжить атаку. Для обнаружения уязвимостей на своих активах также используйте систему управления уязвимостями MaxPatrol VM. Вовремя выявить попытки эксплуатации уязвимостей внутри сетевого контура компании помогут продукты класса NTA, такие как PT Network Attack Discovery, и средства анализа сетевого трафика, например PT NGFW.
Поделиться