Positive Technologies
  • О компании
  • Новости
  • Эксперт Positive Technologies помог устранить уязвимость в инструменте для анализа мобильных приложений MobSF
Новости

Эксперт Positive Technologies помог устранить уязвимость в инструменте для анализа мобильных приложений MobSF

При проверке вредоносного приложения с помощью MobSF пользователь или компания могли быть атакованы злоумышленником

Разработчики системы для анализа безопасности мобильных приложений MobSF (Mobile Security Framework) исправили уязвимость, обнаруженную экспертом PT SWARM Олегом Сурниным. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО.

Уязвимость CVE-2024-31215 (BDU:2024-03055) получила оценку 6,3 балла по шкале CVSS 3.1. Для ее устранения необходимо установить MobSF версии 3.9.8 или выше. 

Платформа широко распространена среди разработчиков и исследователей безопасности. Инструмент входит в состав популярных дистрибутивов1 операционных систем для тестирования на проникновение, таких как, например, BlackArch. Фреймворк также востребован в задачах, связанных с выстраиванием процесса безопасной разработки. MobSF используют как независимые эксперты, так и компании, специализирующиеся на создании мобильных приложений и проведении пентестов. 

В случае неустранения уязвимости для успешной атаки могло быть достаточно, чтобы пользователь загрузил в MobSF вредоносное мобильное приложение. Это может произойти, например, в ходе расследования инцидентов: специалисты по ИБ c помощью MobSF проверяют используемые в компании программы, которые могут показаться им подозрительными и нести потенциальную угрозу.

«В мобильных приложениях часто используются облачные базы данных Firebase, которые компания Google предоставляет по модели "бэкенд как услуга". Система MobSF в процессе проверки безопасности приложения анализирует защищенность таких баз данных, например их доступность без авторизации. Атакующий мог бы написать вредоносное приложение таким образом, чтобы анализатор MobSF вместо запроса к базам данных Firebase открывал специально подготовленную злоумышленником вредоносную ссылку, откуда могла идти...

Олег Сурнин
Олег СурнинРуководитель группы исследования безопасности мобильных приложений PT SWARM

Уязвимости такого вида, по словам Олега Сурнина, возникают в тех случаях, когда в приложении не используются механизмы проверки легитимности ресурсов, к которым выполняется запрос. Для блокировки попыток эксплуатации уязвимостей эффективно применение межсетевых экранов уровня веб-приложений, например PT Application Firewall (у которого также есть облачная версия — PT Cloud Application Firewall). Снизить риски эксплуатации уязвимостей помогут средства защиты на конечных устройствах класса EDR, например MaxPatrol EDR. Это решение позволяет обнаружить вредоносную активность, оперативно отреагировать, отправить уведомление в MaxPatrol SIEM и не дать злоумышленнику продолжить атаку. Для обнаружения уязвимостей на своих активах также используйте систему управления уязвимостями MaxPatrol VM. Вовремя выявить попытки эксплуатации уязвимостей внутри сетевого контура компании помогут продукты класса NTA, такие как PT Network Attack Discovery, и средства анализа сетевого трафика, например PT NGFW.

  1. Дистрибутив — форма распространения программного обеспечения, содержащая все необходимые файлы и компоненты для установки и запуска программы на компьютере.

Может быть интересно: