Los mantenedores del software de código abierto que impulsa la red social Mastodon publicaron una actualización de seguridad el jueves que corrige una vulnerabilidad crítica que hace posible que los piratas informáticos accedan a los servidores que envían contenido a usuarios individuales.
Mastodon se basa en un modelo federado. La federación comprende miles de servidores separados conocidos como “instancias”. Los usuarios individuales crean una cuenta con una de las instancias, que a su vez intercambian contenido hacia y desde los usuarios de otras instancias. Hasta la fecha, Mastodon cuenta con más de 24.000 instancias y 14,5 millones de usuarios, según la-federacion.infoun sitio que rastrea las estadísticas relacionadas con Mastodon.
Un error crítico rastreado como CVE-2023-36460 fue una de las dos vulnerabilidades calificadas como críticas que fueron arreglado el jueves
Hasta ahora, Mastodon gGmbH, la organización sin fines de lucro que mantiene las instancias de software que se utilizan para operar la red social, ha publicado pocos detalles sobre CVE-2023-36460 además de describirlo como una falla de “creación arbitraria de archivos a través de archivos adjuntos de medios”.
“Usando archivos de medios cuidadosamente diseñados, los atacantes pueden hacer que el código de procesamiento de medios de Mastodon cree archivos arbitrarios en cualquier ubicación”, dijo Mastodon. .”
en un puesto de mastodonte, el investigador de seguridad independiente Kevin Beaumont fue un paso más allá y escribió que explotar la vulnerabilidad permitía a alguien “enviar un pitido que hace un webshell en instancias en las que el proceso decía pitido”. Acuñó el nombre #TootRoot porque las publicaciones de los usuarios, conocidas como toots, permitían a los piratas informáticos obtener acceso de root a las instancias.
Un atacante con control sobre miles de instancias podría infligir todo tipo de daños a usuarios individuales y posiblemente a Internet en general. Por ejemplo, las instancias secuestradas podrían enviar alertas a los usuarios indicándoles que descarguen e instalen aplicaciones maliciosas o que detengan toda la infraestructura. No hay indicios de que el error haya sido explotado alguna vez.
El parche del jueves es el producto de un trabajo reciente de pruebas de penetración que financió la Fundación Mozilla, dijo a Ars el cofundador y CTO de Mastodon, Renaud Chaput. Dijo que una empresa llamada Cure53 realizó la prueba y que las correcciones de código fueron desarrolladas por el equipo de varias personas dentro de la organización sin fines de lucro Mastodon. Mozilla ha anunciado planes para crear su propia instancia de Mastodon. Rinaud dijo que Mastodon envió anuncios previos a grandes servidores en las últimas semanas, informándoles de la solución para que estuvieran listos para parchear rápidamente.
En total, el lote de parches del jueves de Mastodon corrigió cinco vulnerabilidades. Uno de los errores, rastreado como CVE-2023-36459, también tenía una calificación de gravedad crítica. mastodonte redacción básica describió la falla como un “XSS a través de tarjetas de vista previa oEmbed”.
Continuó: “Usando datos de oEmbed cuidadosamente elaborados, un atacante puede eludir el saneamiento de HTML realizado por Mastodon e incluir HTML arbitrario en las tarjetas de vista previa de oEmbed. Esto introduce un vector para las cargas útiles de Cross-site-scripting (XSS) que se pueden representar en el navegador del usuario cuando se hace clic en una tarjeta de vista previa para un enlace malicioso”.
Los exploits XSS permiten a los piratas informáticos inyectar código malicioso en los sitios web, lo que a su vez hace que se ejecute en los navegadores de las personas que visitan el sitio. oEmbed es un formato abierto para permitir una representación incrustada de una URL en sitios de terceros. Ningún otro detalle sobre la vulnerabilidad estuvo disponible de inmediato.
Las otras tres vulnerabilidades tenían calificaciones de gravedad alta y media. Incluían una “inyección ciega de LDAP en el inicio de sesión [that[ allows the attacker to leak arbitrary attributes from LDAP database,” “Denial of Service through slow HTTP responses,” and “Verified profile links [that] puede formatearse de forma engañosa”.
Los parches llegan cuando el gigante de las redes sociales Meta lanzó un nuevo servicio destinado a recoger a los usuarios de Twitter que abandonan la plataforma. No hay ninguna acción que los usuarios individuales de Mastodon deban tomar aparte de asegurarse de que la instancia a la que están suscritos haya instalado las actualizaciones.
Actualizado para corregir la descripción de Cure53.