Η Mastodon, η δωρεάν και ανοιχτού κώδικα αποκεντρωμένη
πλατφόρμα
κοινωνικής δικτύωσης, διόρθωσε
μι
α κρίσιμη ευπάθεια που επιτρέπει στους εισβολείς να μιμούνται και να κατακτούν οποιονδήποτε απομακρυσμένο λογαριασμό.
Η πλατφόρμα έγινε δημοφιλής αφού ο Έλον Μασκ εξαγόρασε το Twitter και τώρα καυχιέται
σχεδόν 12 εκατομμύρια
χρήστες κατανέμονται σε 11.000 περιπτώσεις.
Οι παρουσίες (διακομιστές) στο Mastodon είναι αυτόνομες αλλά διασυνδεδεμένες (μέσω ενός συστή
ματ
ος που είναι γνωστό ως “ομοσπονδία”) κοινότητες που έχουν τις δικές τους κατευθυντήριες γραμμές και πολιτικές, που ελέγχονται από κατόχους που παρέχουν την υποδομή και ενεργούν ως διαχειριστές των διακομιστών τους.
Το πρόσφατα διορθωμένο ελάττωμα παρακολουθείται ως
CVE-2024-23832
και προέρχεται από αν
επα
ρκή επικύρωση προέλευσης στο Mastodon, επιτρέποντας στους εισβολείς να μιμούνται τους χρήστες και να κατακτούν τους λογαριασμούς τους.
Η ευπάθεια έχει βαθμολογηθεί με 9.4 στο CVSS v3.1 και επηρεάζει όλες τις εκδόσεις Mastodon πριν από τις 3.5.17, 4.0.13, 4.1.13 και 4.2.5.
Το ελάττωμα διορθώθηκε στις 4.2.5, που κυκλοφόρησε χθες, το οποίο όλοι οι διαχειριστές διακομιστή Mastodon καλούνται να αναβαθμίσουν σε όσο το δυνατόν συντομότερα για να προστατεύσουν τους χρήστες των παρουσιών τους.
Η Mastodon έχει αποκρύψει τεχνικές λεπτομέρειες για την ώρα για να αποτρέψει την ενεργή εκμετάλλευση της ευπάθειας. Ωστόσο, αυτοί
υποσχέθηκε να μοιραστεί περισσότερες πληροφορίες
σχετικά με το CVE-2024-23832 στις 15 Φεβρουαρίου 2024.
Οι χρήστες του Mastodon δεν μπορούν να κάνουν τίποτα για να αντιμετωπίσουν τον κίνδυνο ασφάλειας, αλλά θα πρέπει να διασφαλίσουν ότι οι διαχειριστές της παρουσίας στην οποία συμμετέχουν έχουν αναβαθμιστεί σε ασφαλή έκδοση έως τα μέσα Φεβρουαρίου. Διαφορετικά, οι λογαριασμοί τους θα είναι επιρρεπείς σε αεροπειρατεία.
Ευτυχώς, η Mastodon επέλεξε να ειδοποιεί τους διαχειριστές διακομιστή μέσω ενός έντονο banner σχετικά με την κρίσιμη
ενημέρωση
, επομένως όλες οι περιπτώσεις που διατηρούνται ενεργά θα πρέπει να γνωρίζουν την ενημέρωση και να μετακινηθούν στην ασφαλή έκδοση τις επόμενες ημέρες.
Οι επιπτώσεις της πλαστοπροσωπίας και της εξαγοράς λογαριασμού στο Mastodon μπορεί να είναι σημαντικές, επηρεάζοντας μεμονωμένους χρήστες, κοινότητες και την ακεραιότητα της πλατφόρμας, επομένως το CVE-2024-23832 είναι ένα σοβαρό ελάττωμα.
Τον Ιούλιο του 2023, η ομάδα του Mastodon διόρθωσε ένα άλλο κρίσιμο σφάλμα που εντοπίστηκε ως CVE-2023-36460 και ονομάστηκε “TootRoot”, το οποίο επέτρεπε στους εισβολείς να στείλουν “toots” (το ισοδύναμο των tweets) που θα δημιουργούσαν κελύφη ιστού σε στιγμιότυπα στόχους.
Οι εισβολείς θα μπορούσαν να εκμεταλλευτούν αυτό το ελάττωμα για να θέσουν σε κίνδυνο πλήρως τους διακομιστές Mastodon, επιτρέποντάς τους να έχουν πρόσβαση σε ευαίσθητες πληροφορίες χρήστη, επικοινωνίες και κερκόπορτες εγκαταστάσεων.
VIA:
bleepingcomputer.com
