Yaygın olarak kullanılan bir sızma testi, kötü amaçlı yazılım analizi ve güvenlik değerlendirme çerçevesi olan Mobil Güvenlik Çerçevesinin (MobSF), sunucu tarafı istek sahteciliği (SSRF) saldırılarına yol açabilecek kritik bir giriş doğrulama kusuru içerdiği tespit edildi.
CVE-2024-29190 olarak takip edilen güvenlik açığı MobSF'in 3.9.5 Beta ve önceki sürümlerini etkiliyor.
Güvenlik Açığı Anlamak: CVE-2024-29190
Trendyol Uygulama Güvenliği ekibi, “App Link assetlinks.json dosyası bulunamadı” güvenlik açığını araştırırken MobSF'nin “android” ile belirtilen tüm hostlar için “/.well-known/assetlinks.json” uç noktasına GET isteği gönderdiğini keşfetti. : host” AndroidManifest.xml dosyasında.
Ücretsiz Web Semineri: Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması
Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Uyarı Yorgunluğu. :
- Günümüzün kırılganlık yorgunluğu sorunu
- CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
- Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
- Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon
Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:
Ancak, android: host özelliğinden ana bilgisayar adları çıkarılırken giriş doğrulama eksikliği nedeniyle MobSF, yanlışlıkla yerel ana bilgisayar adlarına istekler gönderebilir ve bu da potansiyel olarak SSRF'ye yol açabilir.
GitHub yakın zamanda assetlinks_check işlevini etkileyen Sunucu Tarafı İstek Sahteciliği (SSRF) güvenlik açığıyla ilgili bir blog yazısı yayınladı.
Teknik Arıza
Savunmasız Yapılandırma Örneği
XML
Android: host yukarıdaki örnekte “192.168.1.102/user/delete/1#” olarak tanımlanmıştır.
Ana makinenin sonuna “#” karakterinin dahil edilmesi, isteklerin “/.well-known/assetlinks.json” uç noktasına gönderilmesini önlediği ve isteklerin kendisinden önce belirtilen uç noktaya gönderilmesini sağladığı için kritik öneme sahiptir.
Kavram Kanıtı (PoC)
Trendyol Uygulama Güvenliği ekibi tarafından SSRF zafiyetini gösteren kavram kanıtı videosu kullanıma sunuldu.
SSRF güvenlik açığı, bir saldırganın sunucunun bir kuruluşun altyapısındaki yalnızca dahili hizmetlere yetkisiz bağlantılar kurmasına neden olmasına olanak tanıdığından önemli bir risk oluşturur.
Bu, hassas dahili sistemlerin ve verilerin açığa çıkmasına neden olabilir.
Azaltma ve Düzeltme
Bu soruna yönelik bir düzeltme 5a8eeee73c5f504a6c3abdf2a139a13804efdb77 işleminde uygulandı.
MobSF kullanıcılarının CVE-2024-29190 ile ilişkili riski azaltmak için en son sürüme güncelleme yapmaları tavsiye edilir.
CVE-2024-29190'ın keşfi, özellikle MobSF gibi güvenlik açısından kritik uygulamalarda yazılım geliştirmede kapsamlı giriş doğrulamanın önemini vurgulamaktadır.
Güvenlik değerlendirmeleri için MobSF'ye güvenen kuruluşlar, düzeltmeyi uygulamak ve altyapılarını olası SSRF saldırılarına karşı korumak için derhal harekete geçmelidir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.