Η δωρεάν και ανοικτού κώδικα αποκεντρωμένη πλατφόρμα κοινωνικής δικτύωσης Mastodon, έχει επιδιορθώσει τέσσερις ευπάθειες- μία από αυτές είναι κρίσιμη.
Δείτε επίσης: H ΕΥΠ ιδρύει το δικό της SOC- Κέντρο Επιχειρήσεων Κυβερνοασφάλειας
Η Mastodon έχει περίπου 8,8 εκατομμύρια χρήστες που κατανέμονται σε 13.000 ξεχωριστούς servers (instances) που φιλοξενούνται από εθελοντές για να υποστηρίξουν ξεχωριστές αλλά διασυνδεδεμένες (federated) κοινότητες.
Και τα τέσσερα προβλήματα που ανακάλυψαν ανεξάρτητοι auditors της Cure53, μιας εταιρείας που παρέχει penetration testing για διαδικτυακές υπηρεσίες, διορθώθηκαν. Κατόπιν αιτήματος της Mozilla, οι auditors επιθεώρησαν τον κώδικα της Mastodon.
Η πιο σοβαρή ευπάθεια, που εντοπίζεται ως CVE-2023-36460 και ονομάζεται TootRoot, δίνει στους επιτιθέμενους έναν εύκολο τρόπο να θέσουν σε κίνδυνο τους διακομιστές-στόχους.
Δείτε επίσης: Το νέο Big Head ransomware εμφανίζει ψεύτικη ειδοποίηση για ενημέρωση Windows
Το CVE-2023-36460 είναι ένα πρόβλημα στον κώδικα επεξεργασίας πολυμέσων της Mastodon που επιτρέπει τη χρήση αρχείων πολυμέσων σε toots (το ισοδύναμο των tweets) για να προκαλέσει μια σειρά προβλημάτων, από denial of service (DoS) έως αυθαίρετη απομακρυσμένη εκτέλεση κώδικα.
Παρόλο που το δελτίο ασφαλείας της Mastodon είναι λακωνικό, ο ερευνητής ασφαλείας Kevin Beaumont τόνισε τους κινδύνους που σχετίζονται με το TootRoot, λέγοντας ότι ένα “toot” θα μπορούσε να χρησιμοποιηθεί για την τοποθέτηση backdoors στους server που παραδίδουν περιεχόμενο στους χρήστες του Mastodon.
Μια τέτοια παραβίαση θα έδινε στους επιτιθέμενους απεριόριστο έλεγχο του διακομιστή, των δεδομένων που φιλοξενεί και διαχειρίζεται και θα επεκτεινόταν στις ευαίσθητες πληροφορίες των χρηστών.
Το δεύτερο ελάττωμα κρίσιμης σοβαρότητας είναι το CVE-2023-36459, μια ευπάθεια cross-site scripting (XSS) στις oEmbed preview cards που χρησιμοποιούνται στην Mastodon, η οποία επιτρέπει την παράκαμψη του HTML sanitization στο πρόγραμμα περιήγησης-στόχο.
Οι επιτιθέμενοι που εκμεταλλεύονται αυτό το ελάττωμα θα μπορούσαν να το χρησιμοποιήσουν για hijack λογαριασμού, user impersonation ή πρόσβαση σε ευαίσθητα δεδομένα.
Δείτε επίσης: Charming Kitten: Χρησιμοποιεί το νέο NokNok malware για macOS
Οι άλλες δύο ευπάθειες που αντιμετωπίζονται από την Mastodon είναι το CVE-2023-36461, ένα σφάλμα DoS υψηλής σοβαρότητας που μπορεί να αξιοποιηθεί μέσω αργών HTTP responses, και το CVE-2023-36462, επίσης υψηλής σοβαρότητας, το οποίο επιτρέπει σε έναν εισβολέα να διαμορφώσει έναν σύνδεσμο επαληθευμένου προφίλ με παραπλανητικό τρόπο που μπορεί να χρησιμοποιηθεί για phishing.
Οι τέσσερις ευπάθειες επηρεάζουν όλες τις εκδόσεις της Mastodon από την έκδοση 3.5.0 και μετά και επιδιορθώθηκαν στις εκδόσεις 3.5.9, 4.0.5 και 4.1.3.
Τα patches είναι ενημερώσεις ασφαλείας του διακομιστή και πρέπει να εφαρμοστούν από τους διαχειριστές προκειμένου να απομακρυνθεί ο κίνδυνος για τις κοινότητές τους.
Πηγή πληροφοριών: bleepingcomputer.com
