Het gedecentraliseerde sociale netwerk Mastodon heeft een kritieke beveiligingsfout bekendgemaakt die kwaadwillende actoren in staat stelt om zich voor te doen als en de controle over te nemen van elk account.
“Vanwege onvoldoende validatie van de herkomst in heel Mastodon, kunnen aanvallers zich voordoen als en de controle overnemen van elk extern account,” zeggen de beheerders in een beknopt advies.
De kwetsbaarheid, gevolgd als CVE-2024-23832, heeft een ernstigheidsbeoordeling van 9.4 van de maximale 10. Beveiligingsonderzoeker Arcanicanis wordt gecrediteerd met het ontdekken en rapporteren ervan.
Het wordt beschreven als een “herkomst validatiefout” (CWE-346), wat typisch een aanvaller in staat kan stellen om “toegang te krijgen tot elke functionaliteit die per ongeluk toegankelijk is voor de bron.”
Elke Mastodon-versie voorafgaand aan 3.5.17 is kwetsbaar, evenals 4.0.x-versies voorafgaand aan 4.0.13, 4.1.x-versies voorafgaand aan 4.1.13, en 4.2.x-versies voorafgaand aan 4.2.5.
Mastodon zegt dat het aanvullende technische details over de fout achterhoudt tot 15 februari 2024, om beheerders voldoende tijd te geven om de servers bij te werken en de kans op misbruik te voorkomen.
“Een hoeveelheid details zou het erg gemakkelijk maken om een exploit te bedenken,” zei het.
De gefedereerde aard van het platform betekent dat het draait op afzonderlijke servers (ook wel instances genoemd), onafhankelijk gehost en beheerd door respectievelijke beheerders die hun eigen regels en voorschriften creƫren die lokaal worden afgedwongen.
Dit betekent ook dat niet alleen elke instance een unieke gedragscode, gebruiksvoorwaarden, privacybeleid en richtlijnen voor inhoudsmatiging heeft, maar ook dat elke beheerder de beveiligingsupdates tijdig moet toepassen om de instances te beveiligen tegen mogelijke risico’s.
De bekendmaking komt bijna zeven maanden nadat Mastodon twee andere kritieke fouten heeft aangepakt (CVE-2023-36460 en 2023-36459) die door tegenstanders hadden kunnen worden ingezet om denial-of-service (DoS) te veroorzaken of externe code-uitvoering te bereiken.
Bron: The hackers News
