Os mantenedores do software program de código aberto que alimenta a rede social Mastodon publicaram uma atualização de segurança na quinta-feira que corrige uma vulnerabilidade crítica, permitindo que hackers criem backdoor nos servidores que enviam conteúdo para usuários individuais.
Mastodon é baseado em um modelo federado. A federação compreende milhares de servidores separados conhecidos como “instâncias”. Usuários individuais criam uma conta com uma das instâncias, que por sua vez trocam conteúdo de e para usuários de outras instâncias. Até o momento, o Mastodon tem mais de 24.000 instâncias e 14,5 milhões de usuários, de acordo com the-federation.dataum website que rastreia estatísticas relacionadas ao Mastodon.
Um bug crítico rastreado como CVE-2023-36460 foi uma das duas vulnerabilidades classificadas como críticas que foram fixado na quinta-feira. Ao todo, o Mastodon na quinta-feira corrigiu cinco vulnerabilidades.
Até agora, Mastodon gGmbH, a organização sem fins lucrativos que mantém as instâncias de software program usadas para operar a rede social, divulgou poucos detalhes sobre o CVE-2023-36460 além de descreva-o como uma falha de “criação arbitrária de arquivo por meio de anexos de mídia”.
“Usando arquivos de mídia cuidadosamente elaborados, os invasores podem fazer com que o código de processamento de mídia do Mastodon crie arquivos arbitrários em qualquer native”, disse Mastodon. .”
Em um posto de mastodonte, o pesquisador de segurança independente Kevin Beaumont foi um passo adiante, escrevendo que explorar a vulnerabilidade permitia que alguém “enviasse um toot que cria um webshell em instâncias que processam o dito toot”. Ele cunhou o nome #TootRoot porque as postagens do usuário, conhecidas como toots, permitiam que os hackers obtivessem acesso root às instâncias.
Um invasor com controle sobre milhares de instâncias pode infligir todos os tipos de danos a usuários individuais e possivelmente à Web em geral. Por exemplo, instâncias sequestradas podem enviar alertas aos usuários instruindo-os a baixar e instalar aplicativos maliciosos ou interromper toda a infraestrutura. Não há indicações de que o bug já tenha sido explorado.
O patch de quinta-feira é o produto de um recente trabalho de teste de penetração financiado pela Mozilla Basis, disse o cofundador e CTO da Mastodon, Renaud Chaput, à Ars. Ele disse que uma empresa chamada Cure53 realizou o pentesting e que as correções de código foram desenvolvidas pela equipe de várias pessoas dentro da organização sem fins lucrativos Mastodon. A Mozilla anunciou planos para criar sua própria instância do Mastodon. Rinaud disse que o Mastodon enviou pré-anúncios para grandes servidores nas últimas semanas, informando-os sobre a correção para que estivessem prontos para corrigir rapidamente.
Ao todo, o lote de patches de quinta-feira do Mastodon corrigiu cinco vulnerabilidades. Um dos bugs, rastreado como CVE-2023-36459, também carregava uma classificação de gravidade crítica. mastodontes redação básica descreveu a falha como um “XSS por meio de cartões de visualização oEmbed”.
Ele continuou: “Usando dados oEmbed cuidadosamente elaborados, um invasor pode ignorar a sanitização de HTML realizada pelo Mastodon e incluir HTML arbitrário em cartões de visualização oEmbed. Isso introduz um vetor para cargas úteis de script entre websites (XSS) que podem ser renderizadas no navegador do usuário quando um cartão de visualização de um hyperlink malicioso é clicado.”
As explorações de XSS permitem que os hackers injetem código malicioso em websites, o que, por sua vez, faz com que ele seja executado nos navegadores das pessoas que visitam o website. oEmbed é um formato aberto para permitir uma representação incorporada de um URL em websites de terceiros. Nenhum outro detalhe sobre a vulnerabilidade estava imediatamente disponível.
As três outras vulnerabilidades carregavam classificações de gravidade alta e média. Eles incluíram uma “injeção cega de LDAP no login [that[ allows the attacker to leak arbitrary attributes from LDAP database,” “Denial of Service through slow HTTP responses,” and “Verified profile links [that] pode ser formatado de forma enganosa”.
Os patches vêm quando o gigante da mídia social Meta lançou um novo serviço destinado a captar usuários do Twitter que estão deixando a plataforma. Não há nenhuma ação que os usuários individuais do Mastodon precisem realizar além de garantir que a instância na qual estão inscritos tenha instalado as atualizações.
Atualizado para corrigir a descrição do Cure53.
