Erro crítico do TootRoot permite que invasores sequestrem servidores da rede social Mastodon
10 de Julho de 2023

Mastodon, a plataforma de rede social descentralizada gratuita e de código aberto, corrigiu quatro vulnerabilidades, uma delas crítica que permite aos hackers criar arquivos arbitrários no servidor usando arquivos de mídia especialmente criados.

O Mastodon tem cerca de 8,8 milhões de usuários espalhados por 13.000 servidores separados (instâncias) hospedados por voluntários para suportar comunidades distintas mas interconectadas (federadas).

Todas as quatro questões corrigidas foram descobertas por auditores independentes da Cure53, uma empresa que fornece testes de penetração para serviços online.

Os auditores inspecionaram o código do Mastodon a pedido da Mozilla.

A mais grave das vulnerabilidades é rastreada como CVE-2023-36460 e foi nomeada TootRoot.

Ela oferece aos invasores uma maneira particularmente fácil de comprometer servidores alvo.

CVE-2023-36460 é um problema no código de processamento de mídia do Mastodon que permite usar arquivos de mídia em toots (equivalente a tuítes) para causar uma série de problemas, desde negação de serviço (DoS) até execução arbitrária remota de códigos.

Embora o boletim de segurança do Mastodon seja lacônico, o pesquisador em segurança Kevin Beaumont destacou os riscos associados ao TootRoot, dizendo que um toot pode ser usado para plantar backdoors nos servidores que entregam conteúdo aos usuários do Mastodon.

Tal comprometimento daria aos invasores controle ilimitado sobre o servidor e os dados que ele hospeda e gerencia, estendendo-se às informações sensíveis dos usuários.

A segunda falha crítica é a CVE-2023-36459 , um cross-site scripting (XSS) nas cartas de prévia oEmbed usadas no Mastodon que permite contornar a sanitização HTML no navegador alvo.

Ataques aproveitando esta falha poderiam ser usados para sequestro da conta, personificação do usuário ou acesso à dados sensíveis.

As outras duas vulnerabilidades abordadas pelo Mastodon são CVE-2023-36461 , uma falha DoS severa através respostas lentas HTTP, e CVE-2023-36462 , também classificada com alta gravidade permitindo que um atacante formate um link perfil verificado em maneira enganosa possibilitando ataques phishing.

As quatro vulnerabilidades afetam todas as versões do Mastodon desde 3.5.0 em diante e foram corrigidas nas versões 3.5.9, 4.0.5 e 4.1.3.

Os patches são atualizações de segurança do servidor e precisam ser aplicados pelos administradores para remover o risco para suas comunidades.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...