Vulnerabilidade no Mastodon permite que invasores assumam contas
5 de Fevereiro de 2024

Mastodon, a plataforma gratuita e de código aberto para redes sociais descentralizadas, corrigiu uma vulnerabilidade crítica que permitia aos invasores se passar e assumir qualquer conta remota.

A plataforma se tornou popular após Elon Musk adquirir o Twitter e agora tem quase 12 milhões de usuários, distribuídos em 11.000 instâncias.

As instâncias (servidores) no Mastodon são autônomas, mas interconectadas (através de um sistema conhecido como "federativo") de comunidades que têm suas próprias diretrizes e políticas, controladas pelos proprietários que fornecem a infraestrutura e atuam como administradores dos servidores.

A falha recentemente corrigida é identificada como CVE-2024-23832 e provém de uma validação de origem insuficiente no Mastodon, permitindo que invasores se passassem por usuários e assumissem suas contas.

A vulnerabilidade é classificada como 9.4 em CVSS v3.1 e afeta todas as versões do Mastodon anteriores a 3.5.17, 4.0.13, 4.1.13, e 4.2.5.

Essa falha foi corrigida na versão 4.2.5, lançada ontem.

Todos os administradores de servidores Mastodon são aconselhados a atualizar para esta versão o mais rápido possível para proteger os usuários de suas instâncias.

O Mastodon retém os detalhes técnicos por enquanto para prevenir a exploração ativa da vulnerabilidade.

No entanto, eles prometeram compartilhar mais informações sobre o CVE-2024-23832 em 15 de fevereiro de 2024.

Os usuários do Mastodon não podem fazer nada para resolver o risco de segurança, mas devem garantir que os administradores da instância em que participam tenham atualizado para uma versão segura até meados de fevereiro; caso contrário, suas contas estarão vulneráveis a invasões.

Felizmente, o Mastodon optou por alertar os administradores do servidor através de um banner pronunciado sobre a atualização crítica, por isso todas instâncias que são ativamente mantidas devem se conscientizar da atualização e mudar para a versão segura nos próximos dias.

As repercussões da suplantação de identidade e tomada de posse no Mastodon podem ser significativas, impactando usuários individuais, comunidades e a integridade da plataforma, portanto CVE-2024-23832 é uma falha grave.

Em julho de 2023, a equipe do Mastodon corrigiu outro bug crítico, identificado como CVE-2023-36460 e apelidado de 'TootRoot', que permitia aos invasores enviar "toots" (equivalentes a tweets) que criavam web shells em instâncias alvo.

Os invasores poderiam explorar esta falha para comprometer completamente os servidores do Mastodon, permitindo-lhes acessar informações sensíveis dos usuários, comunicações e plantar backdoors.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...