Mastodon risolve vulnerabilità che permetteva furto degli account

Mastodon, la piattaforma di social networking decentralizzata gratuita e open source, ha risolto una vulnerabilità critica che consentiva agli aggressori di impersonare e assumere il controllo di qualsiasi account remoto. La piattaforma è diventata popolare dopo che Elon Musk ha acquisito Twitter e ora vanta quasi 12 milioni di utenti distribuiti su 11.000 istanze. Le istanze (server) su Mastodon sono community autonome ma interconnesse (tramite un sistema noto come “federazione”) che hanno le proprie linee guida e politiche. Queste sono controllate dai proprietari che forniscono l'infrastruttura e agiscono come amministratori dei loro server. Il difetto appena corretto viene tracciato come CVE-2024-23832 e deriva da un'insufficiente convalida dell'origine in Mastodon, consentendo agli aggressori di impersonare gli utenti e prendere il controllo dei loro account. La vulnerabilità è classificata 9.4 in CVSS v3.1 e colpisce tutte le versioni di Mastodon precedenti alla 3.5.17, 4.0.13, 4.1.13 e 4.2.5.

Mastodon: aggiornare alla versione 4.2.5 per proteggersi dal bug

Il difetto è stato corretto a partire dalla versione 4.2.5, rilasciata nelle scorse ore. Gli amministratori Mastodon possono già aggiornare i server per proteggere gli utenti delle proprie istanze. Per il momento, l’azienda ha deciso di non rivelare i dettagli tecnici per impedire lo sfruttamento attivo della vulnerabilità. Tuttavia, Mastodon ha deciso di condividere maggiori informazioni su CVE-2024-23832 dal 15 febbraio 2024. Gli utenti di non possono fare nulla per affrontare il rischio per la sicurezza, ma dovrebbero assicurarsi che gli amministratori dell'istanza a cui partecipano abbiano effettuato l'aggiornamento a una versione sicura entro metà febbraio. In caso contrario, i loro account saranno soggetti a dirottamento. Fortunatamente, Mastodon ha deciso di avvisare gli amministratori dell’aggiornamento tramite un banner. Tutte le istanze mantenute attivamente dovrebbero quindi essere a conoscenza dell’update e passare alla versione sicura nei giorni successivi.

Le ripercussioni della rappresentazione e acquisizione dell'account in Mastodon possono essere significative. Possono incidere sui singoli utenti, sulle community e sull'integrità della piattaforma. Nel luglio 2023, il team di Mastodon ha corretto un altro bug critico tracciato come CVE-2023-36460 e soprannominato "TootRoot". Questo consentiva agli aggressori di inviare "toot" (l'equivalente dei tweet) che creavano web shell sulle istanze di destinazione. Gli aggressori potrebbero sfruttare questa falla per compromettere completamente i server. Ciò consentirebbe loro di accedere a informazioni sensibili degli utenti, comunicazioni e backdoor.