Eine kritische Sicherheitsschwachstelle (CVE-2024-29190) im MobSF (Mobile Security Framework), ein weit verbreitetes Tool für Penetrationstests, Malware-Analysen und Sicherheitsbewertungen bei mobilen Anwendungen erfordert sofortiges Handeln. Die Schwachstelle wurde am 22.3.24 in einem Security Advisory von MobSF bekanntgegen.
Betroffen sind Versionen von MobSF vor 3.9.5 Beta. Die Sschwachstelle ist vom Typ Server-Side Request Forgery (SSRF) aufgrund fehlender Eingabevalidierung im Framework. Sie erlaubt Angreifern den MobSF-Server dazu zu bringen, unbefugte Anfragen an interne Dienste zu initiieren, was potenziell sensible Daten preisgeben oder weitere Cyberangriffe erleichtern könnte.
Ein Hotfix für diese Schwachstelle ist durch Update auf Version 3.97 gegeben. Nutzer von MobSF werden dringend aufgefordert, diesen Patch umgehend anzuwenden, um die mit diesem Fehler verbundenen Risiken zu mindern.
Detaillierte Analyse und Beispiel
Die Schwachstelle wurde während der Untersuchung des Problems „App Link assetlinks.json file konnte nicht gefunden werden“ bei der Verwendung von MobSF hervorgerufen. Es wurde festgestellt, dass das Framework eine GET-Anfrage an den Endpunkt „/.well-known/assetlinks.json“ sendet, ohne die Eingabe „android:host“ in der Datei AndroidManifest.xml ordnungsgemäß zu validieren. Diese Unterlassung ermöglicht es, Anfragen an lokale Hostnamen zu richten, was die SSRF-Schwachstelle auslöst.
Beispiel-Szenario:
Im AndroidManifest.xml zeigt eine intent-filter Struktur wie folgt den Fehler auf:
<intent-filter android:autoVerify="true"> <action android:name="android.intent.action.VIEW" /> <category android:name="android.intent.category.DEFAULT" /> <category android:name="android.intent.category.BROWSABLE" /> <data android:host="192.168.1.102/user/delete/1#" android:scheme="http" /> </intent-filter>
Hier verhindert das „#“ Zeichen am Ende der Hostangabe, dass Anfragen an den Endpunkt „/.well-known/assetlinks.json“ gesendet werden und leitet sie stattdessen an den davorliegenden Endpunkt weiter, was das Risiko von SSRF verdeutlicht.
Organisationen, die MobSF nutzen, wird geraten, ihre Version zu überprüfen und den Hotfix umgehend anzuwenden, um ihre Praktiken zur Sicherheit mobiler Anwendungen vor potenziellen Ausnutzungen dieser Schwachstelle zu schützen. Für weitere Details zu CVE-2024-29190 besuchen Sie bitte die CVE-Details in der National Vulnerability Database (NVD): CVE-2024-29190 Detail – NVD.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: