Mastodon, безплатната децентрализирана платформа за социални мрежи с отворен код, отстрани критична уязвимост, която позволява на нападателите да се представят за други лица и да превземат всеки отдалечен акаунт.
Платформата стана популярна, след като Елон Мъск придоби Twitter, и сега може да се похвали с близо 12 милиона потребители, разпределени в 11 000 инстанции.
Инстанциите (сървърите) на Mastodon са автономни, но взаимосвързани (чрез система, известна като „федерация“) общности, които имат свои собствени насоки и политики, контролирани от собственици, които осигуряват инфраструктурата и действат като администратори на своите сървъри.
Новоотстраненият недостатък се проследява като CVE-2024-23832 и произтича от недостатъчно валидиране на произхода в Mastodon, което позволява на нападателите да се представят за потребители и да превземат акаунтите им.
Уязвимостта е оценена с 9.4 в CVSS v3.1 и засяга всички версии на Mastodon преди 3.5.17, 4.0.13, 4.1.13 и 4.2.5.
Недостатъкът е отстранен в издадената вчера версия 4.2.5, до която всички администратори на Mastodon сървъри се съветват да преминат възможно най-скоро, за да защитят потребителите на своите инстанции.
За момента Mastodon не предоставя технически подробности, за да предотврати активното използване на уязвимостта. Въпреки това те обещаха да споделят повече информация за CVE-2024-23832 на 15 февруари 2024 г.
Потребителите на Mastodon не могат да направят нищо, за да се справят с риска за сигурността, но трябва да се уверят, че администраторите на инстанцията, в която участват, са обновили до безопасна версия до средата на февруари; в противен случай акаунтите им ще бъдат податливи на превземане.
За щастие Mastodon е избрал да предупреди администраторите на сървъри чрез изричен банер за критичната актуализация, така че всички инстанции, които се поддържат активно, трябва да се запознаят с актуализацията и да преминат към безопасната версия през следващите дни.
Предупреждение, подадено до администраторите на сървъри
Източник: Кевин Бомонт
Последиците от представянето за акаунт и превземането на акаунти в Mastodon могат да бъдат значителни, като засягат отделни потребители, общности и целостта на платформата, така че CVE-2024-23832 е сериозен недостатък.
През юли 2023 г. екипът на Mastodon поправи друг критичен бъг, проследен като CVE-2023-36460 и наречен „TootRoot“, който позволяваше на нападателите да изпращат „toots“ (еквивалент на туитове), които създаваха уеб обвивки на целевите инстанции.
Нападателите можеха да се възползват от този недостатък, за да компрометират напълно сървърите на Mastodon, което им позволяваше да получат достъп до чувствителна потребителска информация, комуникации и да поставят задни врати.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
