.
Os mantenedores do software de código aberto que alimenta a rede social Mastodon publicaram uma atualização de segurança na quinta-feira que corrige uma vulnerabilidade crítica, permitindo que hackers criem backdoor nos servidores que enviam conteúdo para usuários individuais.
Mastodon é baseado em um modelo federado. A federação compreende milhares de servidores separados conhecidos como “instâncias”. Usuários individuais criam uma conta com uma das instâncias, que por sua vez trocam conteúdo de e para usuários de outras instâncias. Até o momento, o Mastodon tem mais de 24.000 instâncias e 14,5 milhões de usuários, de acordo com the-federation.info, um site que rastreia estatísticas relacionadas ao Mastodon.
Um bug crítico rastreado como CVE-2023-36460 foi uma das duas vulnerabilidades classificadas como críticas que foram corrigidas na quinta-feira. Ao todo, o Mastodon na quinta-feira corrigiu cinco vulnerabilidades.
Até agora, a Mastodon gGmbH, organização sem fins lucrativos que mantém as instâncias de software usadas para operar a rede social, divulgou poucos detalhes sobre o CVE-2023-36460 além de descrevê-lo como uma falha de “criação arbitrária de arquivo por meio de anexos de mídia”.
“Usando arquivos de mídia cuidadosamente elaborados, os invasores podem fazer com que o código de processamento de mídia do Mastodon crie arquivos arbitrários em qualquer local”, disse Mastodon. .”
Em um post do Mastodon, o pesquisador de segurança independente Kevin Beaumont foi um passo além, escrevendo que explorar a vulnerabilidade permitia que alguém “enviasse um toot que cria um webshell em instâncias que processam o dito toot”. Ele cunhou o nome #TootRoot porque as postagens do usuário, conhecidas como toots, permitiam que os hackers obtivessem acesso root às instâncias.
Um invasor com controle sobre milhares de instâncias pode infligir todos os tipos de danos a usuários individuais e possivelmente à Internet em geral. Por exemplo, instâncias sequestradas podem enviar alertas aos usuários instruindo-os a baixar e instalar aplicativos maliciosos ou interromper toda a infraestrutura. Não há indicações de que o bug já tenha sido explorado.
O patch de quinta-feira é o produto de um recente trabalho de teste de penetração financiado pela Mozilla Foundation, disse o cofundador e CTO da Mastodon, Renaud Chaput, à Ars. Ele disse que uma empresa chamada Cure53 realizou o pentesting e que as correções de código foram desenvolvidas pela equipe de várias pessoas dentro da organização sem fins lucrativos Mastodon. A Mozilla anunciou planos para criar sua própria instância do Mastodon. Rinaud disse que o Mastodon enviou pré-anúncios para grandes servidores nas últimas semanas, informando-os sobre a correção para que estivessem prontos para corrigir rapidamente.
Ao todo, o lote de patches de quinta-feira do Mastodon corrigiu cinco vulnerabilidades. Um dos bugs, rastreado como CVE-2023-36459, também carregava uma classificação de gravidade crítica. A redação básica de Mastodon descreveu a falha como um “XSS por meio de cartões de visualização oEmbed”.
Ele continuou: “Usando dados oEmbed cuidadosamente elaborados, um invasor pode ignorar a sanitização de HTML realizada pelo Mastodon e incluir HTML arbitrário em cartões de visualização oEmbed. Isso introduz um vetor para cargas úteis de script entre sites (XSS) que podem ser renderizadas no navegador do usuário quando um cartão de visualização de um link malicioso é clicado.”
As explorações de XSS permitem que os hackers injetem código malicioso em sites, o que, por sua vez, faz com que ele seja executado nos navegadores das pessoas que visitam o site. oEmbed é um formato aberto para permitir uma representação incorporada de um URL em sites de terceiros. Nenhum outro detalhe sobre a vulnerabilidade estava imediatamente disponível.
As três outras vulnerabilidades carregavam classificações de gravidade alta e média. Eles incluíram uma “injeção cega de LDAP no login [that[ allows the attacker to leak arbitrary attributes from LDAP database,” “Denial of Service through slow HTTP responses,” and “Verified profile links [that] pode ser formatado de forma enganosa”.
Os patches vêm quando o gigante da mídia social Meta lançou um novo serviço destinado a captar usuários do Twitter que estão deixando a plataforma. Não há nenhuma ação que os usuários individuais do Mastodon precisem realizar além de garantir que a instância na qual estão inscritos tenha instalado as atualizações.
Atualizado para corrigir a descrição do Cure53.
.
