Kritische Schwachstelle im Mobile Security Framework (MobSF)

Table of Contents

Eine kritische Sicherheitsschwachstelle (CVE-2024-29190) im MobSF (Mobile Security Framework), ein weit verbreitetes Tool für Penetrationstests, Malware-Analysen und Sicherheitsbewertungen bei mobilen Anwendungen erfordert sofortiges Handeln. Die Schwachstelle wurde am 22.3.24 in einem Security Advisory von MobSF bekanntgegen.

Betroffen sind Versionen von MobSF vor 3.9.5 Beta. Die Sschwachstelle ist vom Typ Server-Side Request Forgery (SSRF) aufgrund fehlender Eingabevalidierung im Framework. Sie erlaubt Angreifern den MobSF-Server dazu zu bringen, unbefugte Anfragen an interne Dienste zu initiieren, was potenziell sensible Daten preisgeben oder weitere Cyberangriffe erleichtern könnte.

Ein Hotfix für diese Schwachstelle ist durch Update auf Version 3.97 gegeben. Nutzer von MobSF werden dringend aufgefordert, diesen Patch umgehend anzuwenden, um die mit diesem Fehler verbundenen Risiken zu mindern.

Detaillierte Analyse und Beispiel

Die Schwachstelle wurde während der Untersuchung des Problems “App Link assetlinks.json file konnte nicht gefunden werden” bei der Verwendung von MobSF hervorgerufen. Es wurde festgestellt, dass das Framework eine GET-Anfrage an den Endpunkt “/.well-known/assetlinks.json” sendet, ohne die Eingabe “android:host” in der Datei AndroidManifest.xml ordnungsgemäß zu validieren. Diese Unterlassung ermöglicht es, Anfragen an lokale Hostnamen zu richten, was die SSRF-Schwachstelle auslöst.

Beispiel-Szenario:

Im AndroidManifest.xml zeigt eine intent-filter Struktur wie folgt den Fehler auf:

<intent-filter android:autoVerify="true"> <action android:name="android.intent.action.VIEW" /> <category android:name="android.intent.category.DEFAULT" /> <category android:name="android.intent.category.BROWSABLE" /> <data android:host="192.168.1.102/user/delete/1#" android:scheme="http" /> </intent-filter>

Hier verhindert das “#” Zeichen am Ende der Hostangabe, dass Anfragen an den Endpunkt “/.well-known/assetlinks.json” gesendet werden und leitet sie stattdessen an den davorliegenden Endpunkt weiter, was das Risiko von SSRF verdeutlicht.

Organisationen, die MobSF nutzen, wird geraten, ihre Version zu überprüfen und den Hotfix umgehend anzuwenden, um ihre Praktiken zur Sicherheit mobiler Anwendungen vor potenziellen Ausnutzungen dieser Schwachstelle zu schützen. Für weitere Details zu CVE-2024-29190 besuchen Sie bitte die CVE-Details in der National Vulnerability Database (NVD): CVE-2024-29190 Detail - NVD.

Related Posts

DDOS Schwachstelle in Varnish Cache gefunden

Neue Sicherheitslücke in Varnish Cache erlaubt Denial-of-Service-Angriffe Ein Sicherheitsbulletin vom 18. März 2024 warnt vor einer Schwachstelle in Varnish Cache, einem beliebten HTTP-Accelerator. Die Schwachstelle CVE-2024-30156 betrifft Versionen vor 7.3.2, 7.4.3 (und vor 6.0.13 LTS) sowie Varnish Enterprise 6 vor Version 6.0.12r6.

Read More

Kritische Sicherheitslücke in Advantech WebAccess/SCADA entdeckt

Am 21. März 2024 wurde eine wichtige Sicherheitswarnung für die SCADA-Software WebAccess von Advantech veröffentlicht. Ein SQL-Injection-Sicherheitsrisiko, das entfernte Authentifizierung erfordert, aber nur eine geringe Angriffskomplexität aufweist, betrifft die Version 9.1.5U von Advantech WebAccess/SCADA. Die Schwachstelle ermöglicht es einem authentifizierten Angreifer, SQL-Code in die Datenbank einzuschleusen und somit Daten aus der Ferne zu lesen oder zu modifizieren.

Read More

Gofetch - unpatchbare Sicherheitslücke in Apples M1, M2 und M3 Chips

Eine im März 2024 veröffentlichte nicht patchbare Sicherheitslücke namens GoFetch stellt eine ernsthafte Bedrohung für die Sicherheit der Apple M1, M2 und M3 Chips dar. Es handelt sich um einen Seitenkanalangriff, der die datenabhängigen Prefetcher (DMPs) in diesen Chips ins Visier nimmt und es einem Angreifer ermöglicht, geheime Schlüssel aus konstanten kryptographischen Implementierungen zu extrahieren.

Read More