O Mastodon é uma das mais conhecidas plataformas alternativas e abertas para o Twitter, permitindo aos utilizadores criarem os seus próprios servidores, caso assim o pretendam. No entanto, foi recentemente identificada uma vulnerabilidade no software, que caso seja explorada, pode permitir a terceiros controlarem os servidores.
Usando ficheiros especificamente criados para explorar a falha, um atacante pode enviar conteúdos maliciosos para os sistemas, e eventualmente, pode obter controlo dos mesmos. Atualmente existe mais de 13.000 instâncias separadas do Mastodon, dentro da rede comunitária do Fediverso.
A falha foi descoberta pelos investigadores da empresa Cure53, e foi apelidada de TootRoot. Esta permite que, enviando ficheiros criados especificamente para explorar a falha, e que podem ser enviados como conteúdo multimédia num toot - as mensagens do Mastodon – os atacantes podem obter acesso aos sistemas.
Os detalhes concretos da falha não foram completamente revelados, possivelmente para evitar a sua exploração em larga escala, mas de acordo com vários investigadores de segurança, a mesma possui a capacidade de implementar um backdoor nos sistemas, que pode comprometer os servidores em questão.
Este ataque pode levar a que os utilizadores mal-intencionados possam usar a mesma para obterem total controlo dos servidores, e obterem acesso a informação sensível.
Foi ainda descoberta uma segunda falha, que pode permitir explorar o sistema de thumbnails dos links para injetar código malicioso nos sistemas dos utilizadores. Outras duas falhas foram também descobertas, que podem permitir realizar ataques DoS contra os servidores, com o potencial de tornar os mesmos inoperacionais.
As falhas foram corrigidas com as versões 3.5.9, 4.0.5, e 4.1.3, sendo aconselhado a todos os administradores de instâncias do Mastodon que realizem a atualização o mais rapidamente possível. De notar também que os administradores das instâncias afetadas foram prontamente informados para realizarem a atualização, antes da falha ter sido publicamente confirmada.
Artigo atualizado às 10H40: Informação sobre notificação das instâncias afetadas
Nenhum comentário
Seja o primeiro!