Търсене
Close this search box.

Уязвимост на Mastodon позволява на атакуващите да превземат акаунти

Mastodon, безплатната децентрализирана платформа за социални мрежи с отворен код, отстрани критична уязвимост, която позволява на нападателите да се представят за други лица и да превземат всеки отдалечен акаунт.

Платформата стана популярна, след като Елон Мъск придоби Twitter, и сега може да се похвали с близо 12 милиона потребители, разпределени в 11 000 инстанции.

Инстанциите (сървърите) на Mastodon са автономни, но взаимосвързани (чрез система, известна като „федерация“) общности, които имат свои собствени насоки и политики, контролирани от собственици, които осигуряват инфраструктурата и действат като администратори на своите сървъри.

Новоотстраненият недостатък се проследява като CVE-2024-23832 и произтича от недостатъчно валидиране на произхода в Mastodon, което позволява на нападателите да се представят за потребители и да превземат акаунтите им.

Уязвимостта е оценена с 9.4 в CVSS v3.1 и засяга всички версии на Mastodon преди 3.5.17, 4.0.13, 4.1.13 и 4.2.5.

Недостатъкът е отстранен в издадената вчера версия 4.2.5, до която всички администратори на Mastodon сървъри се съветват да преминат възможно най-скоро, за да защитят потребителите на своите инстанции.

За момента Mastodon не предоставя технически подробности, за да предотврати активното използване на уязвимостта. Въпреки това те обещаха да споделят повече информация за CVE-2024-23832 на 15 февруари 2024 г.

Потребителите на Mastodon не могат да направят нищо, за да се справят с риска за сигурността, но трябва да се уверят, че администраторите на инстанцията, в която участват, са обновили до безопасна версия до средата на февруари; в противен случай акаунтите им ще бъдат податливи на превземане.

За щастие Mastodon е избрал да предупреди администраторите на сървъри чрез изричен банер за критичната актуализация, така че всички инстанции, които се поддържат активно, трябва да се запознаят с актуализацията и да преминат към безопасната версия през следващите дни.

Alert served to server admins
Предупреждение, подадено до администраторите на сървъри
Източник: Кевин Бомонт


Последиците от представянето за акаунт и превземането на акаунти в Mastodon могат да бъдат значителни, като засягат отделни потребители, общности и целостта на платформата, така че CVE-2024-23832 е сериозен недостатък.

През юли 2023 г. екипът на Mastodon поправи друг критичен бъг, проследен като CVE-2023-36460 и наречен „TootRoot“, който позволяваше на нападателите да изпращат „toots“ (еквивалент на туитове), които създаваха уеб обвивки на целевите инстанции.

Нападателите можеха да се възползват от този недостатък, за да компрометират напълно сървърите на Mastodon, което им позволяваше да получат достъп до чувствителна потребителска информация, комуникации и да поставят задни врати.

 

Източник: По материали от Интернет

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
Бъдете социални
Още по темата
20/03/2024

Новият инструмент на GitHub...

GitHub представи нова функция с изкуствен...
20/03/2024

Ivanti отстрани критична гр...

Ivanti предупреди клиентите си незабавно да...
14/03/2024

Fortinet предупреждава за к...

Fortinet поправи критична уязвимост в софтуера...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!