Uma vulnerabilidade crítica na plataforma de rede social descentralizada Mastodon pode ser explorada para assumir servidores.
O problema foi divulgado na semana passada, quando o Mastodon anunciou patches para cinco vulnerabilidades no software de código aberto, incluindo dois classificados como ‘críticos’.
O mais importante deles é o CVE-2023-36460 (pontuação CVSS de 9,9), um problema de criação de arquivo arbitrário que pode levar ao comprometimento total do servidor.
“Usando arquivos de mídia cuidadosamente elaborados, os invasores podem fazer com que o código de processamento de mídia do Mastodon crie arquivos arbitrários em qualquer local. Isso permite que os invasores criem e sobrescrevam qualquer arquivo ao qual o Mastodon tenha acesso, permitindo a negação de serviço e a execução arbitrária de código remoto”, observa Mastodon em um consultor.
De acordo com o pesquisador de segurança Kevin Beaumont, a vulnerabilidade permite que os invasores enviem um toot (mensagens curtas de status) para obter um webshell na instância do Mastodon que o processa.
Beaumont apelidou a vulnerabilidade TootRootpois sua exploração pode fornecer aos invasores acesso root aos servidores Mastodon.
A segunda falha de gravidade crítica, rastreada como CVE-2023-36459, é descrita como um problema de cross-site scripting (XSS) que permite aos invasores contornar a sanitização de HTML por meio de dados oEmbed cuidadosamente elaborados.
“Isso introduz um vetor para cargas úteis de script entre sites (XSS) que podem ser renderizadas no navegador do usuário quando um cartão de visualização de um link malicioso é clicado”, explica Mastodon.
Dos três bugs restantes abordados no Mastodon na semana passada, dois são vulnerabilidades de alta gravidade que levam à negação de serviço (DoS) e vazamentos de informações, enquanto o terceiro é uma falha de gravidade média que permite aos invasores criar links visualmente enganosos para phishing.
Todas as cinco vulnerabilidades foram resolvidas com o lançamento das versões Mastodon 4.1.3, 4.0.5 e 3.5.9. Todos os administradores são aconselhados a atualizar suas instâncias do Mastodon o mais rápido possível.
“Fiz algumas pesquisas e uma porcentagem significativa de instâncias não foi corrigida, e é muito provável que esta tenha uma exploração generalizada. A exploração generalizada em muitas instâncias é tão simples quanto enviar um único toot”, adverte Beaumont.
Introduzido em 2016 e oferecendo recursos de microblogging semelhantes ao Twitter, o software de código aberto oferece suporte a serviços de rede social auto-hospedados executados em nós executados de forma independente, conhecidos como instâncias Mastodon.
Os usuários podem escolher de qual instância do Mastodon desejam ser membros, mas, como os nós operam como uma rede social federada, os usuários também podem interagir com membros de outras instâncias. mostra que existem mais de 12.000 instâncias do Mastodon, hospedando cerca de oito milhões de usuários.
A plataforma ganhou força significativa desde 2022, quando a aquisição do Twitter por Elon Musk gerou preocupações.