Mastodon, a plataforma gratuita e de código aberto para redes sociais descentralizadas, corrigiu uma vulnerabilidade crítica que permitia aos invasores se passar e assumir qualquer conta remota.
A plataforma se tornou popular após Elon Musk adquirir o Twitter e agora tem quase 12 milhões de usuários, distribuídos em 11.000 instâncias.
As instâncias (servidores) no Mastodon são autônomas, mas interconectadas (através de um sistema conhecido como "federativo") de comunidades que têm suas próprias diretrizes e políticas, controladas pelos proprietários que fornecem a infraestrutura e atuam como administradores dos servidores.
A falha recentemente corrigida é identificada como
CVE-2024-23832
e provém de uma validação de origem insuficiente no Mastodon, permitindo que invasores se passassem por usuários e assumissem suas contas.
A vulnerabilidade é classificada como 9.4 em CVSS v3.1 e afeta todas as versões do Mastodon anteriores a 3.5.17, 4.0.13, 4.1.13, e 4.2.5.
Essa falha foi corrigida na versão 4.2.5, lançada ontem.
Todos os administradores de servidores Mastodon são aconselhados a atualizar para esta versão o mais rápido possível para proteger os usuários de suas instâncias.
O Mastodon retém os detalhes técnicos por enquanto para prevenir a exploração ativa da vulnerabilidade.
No entanto, eles prometeram compartilhar mais informações sobre o
CVE-2024-23832
em 15 de fevereiro de 2024.
Os usuários do Mastodon não podem fazer nada para resolver o risco de segurança, mas devem garantir que os administradores da instância em que participam tenham atualizado para uma versão segura até meados de fevereiro; caso contrário, suas contas estarão vulneráveis a invasões.
Felizmente, o Mastodon optou por alertar os administradores do servidor através de um banner pronunciado sobre a atualização crítica, por isso todas instâncias que são ativamente mantidas devem se conscientizar da atualização e mudar para a versão segura nos próximos dias.
As repercussões da suplantação de identidade e tomada de posse no Mastodon podem ser significativas, impactando usuários individuais, comunidades e a integridade da plataforma, portanto
CVE-2024-23832
é uma falha grave.
Em julho de 2023, a equipe do Mastodon corrigiu outro bug crítico, identificado como
CVE-2023-36460
e apelidado de 'TootRoot', que permitia aos invasores enviar "toots" (equivalentes a tweets) que criavam web shells em instâncias alvo.
Os invasores poderiam explorar esta falha para comprometer completamente os servidores do Mastodon, permitindo-lhes acessar informações sensíveis dos usuários, comunicações e plantar backdoors.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...