Eine kritische Schwachstelle in Mastodon wird von schnell handelnden Administratoren ausgenutzt: • Log

Mastodon hat die Behörden aufgefordert, Maßnahmen zu ergreifen, nachdem eine schwerwiegende Sicherheitslücke im dezentralen sozialen Netzwerk aufgedeckt wurde, das von ehemaligen Twitter-Fans bevorzugt wird.

Mit einem Schweregrad von 9,4 könnte der Exploit CVE-2024-23832 es Angreifern potenziell ermöglichen, die Kontrolle über Mastodon-Konten aus der Ferne zu übernehmen.

Obwohl nur sehr wenige technische Details veröffentlicht wurden – was den Administratoren genügend Zeit zum Patchen gibt, bevor Angreifer Exploits entwickeln – haben Schwachstellen mit hohen CVSS-Werten tendenziell schwerwiegende Folgen für das betroffene Produkt und sind oft relativ einfach auszunutzen.

„Aufgrund der unzureichenden Herkunftsüberprüfung bei Mastodon können Angreifer sich als beliebige Remote-Konten ausgeben und diese übernehmen“, sagte Eugene Rushko, CEO und leitender Entwickler bei Mastodon. Sicherheitsberatung.

„Jede Mastodon-Version vor 3.5.17 ist anfällig, ebenso wie 4.0.x-Versionen vor 4.0.13, 4.1.x-Versionen vor 4.1.13 und 4.2.x-Versionen vor 4.2.5.“

Vollständige Details der Schwachstelle werden am 15. Februar veröffentlicht, sagte Rushko, wodurch Administratoren zwei Wochen Zeit haben, auf die neueste Version zu aktualisieren. Die Offenlegung „jeder Menge an Details würde es sehr einfach machen, einen Exploit zu entwickeln“, sagte er.

Mastodon ist ein dezentrales soziales Netzwerk, das heißt, es läuft auf separaten Servern, die den jeweiligen Administratoren unabhängig gehören und von diesen verwaltet werden.

Dies bringt zwar Vorteile mit sich, wie etwa die Aktivierung spezifischer Regeln und Einschränkungen für verschiedene Communities, bedeutet aber auch, dass jede von den Administratoren einzeln aktualisiert werden muss. Es ist nicht möglich, dass die gesamte Plattform eine Stunde lang wegen Wartungsarbeiten ausfällt und alles repariert ist.

„Die grundlegende Architektur der Mastodon-Plattform unterscheidet sich von anderen sozialen Netzwerken darin, dass es sich um ein dezentrales System handelt“, sagte Elliott Wilkes, Chief Technology Officer bei Advanced Cyber ​​​​Defense Systems.

„Jede Instanz von Mastodon wird getrennt von allen anderen Instanzen gehostet, und obwohl es gemeinsame Links gibt, um die Bewegung zwischen den Instanzen zu ermöglichen, sind sie getrennt und werden von verschiedenen Personen verwaltet und verwaltet, wobei unterschiedliche Teams die Sicherheit jeder einzelnen Instanz verwalten. Aus diesem Grund ist jede Instanz von Mastodon separat gehostet Instanz erfordert eine Instanz Mastodon erzielt Skaleneffekte zur Unterstützung seiner Abläufe, einschließlich der Mitarbeiter zur Verwaltung der Infrastruktur und Sicherheitstechnik.

„Dies ist einer der wichtigsten Kompromisse zwischen Mastodon und einem zentralisierten Social-Media-Unternehmen wie Meta oder Instagram. Es gibt nicht die gleichen Investitionen in die Sicherheit, weil es keine großen Einnahmen aus der Unterstützung der Plattform gibt und jeder Instanzbesitzer das Sicherheitsmanagement selbst implementieren muss.“

„Hier gibt es noch nicht genügend Details, um konkret zu erklären, warum Mastodon anfällig ist, während andere Plattformen dies nicht tun, aber verschiedene Quellcode-Repositories werden keine Schwachstellen gemeinsam nutzen, es sei denn, es gibt einen inhärenten Fehler in einem der von beiden Produkten gemeinsam genutzten Open-Source-Pakete.“

Die gute Nachricht für Mastodon-Benutzer ist, dass laut Angaben bereits mehr als die Hälfte aller aktiven Server innerhalb eines Tages auf die neueste Version aktualisiert wurden Daten Vom Bundesnetzstatistik-Aggregator FediDB.

Diese schnelle Patch-Rate ist wahrscheinlich darauf zurückzuführen, wie erfolgreich die Mastodon-Community dieses Problem bekannt gemacht hat. Rochkos Rat wurde nicht nur schnell in verschiedenen Fällen weitergegeben; Screenshots von Admin-Panels Auch die Plattform selbst hat in der Präsentation deutliche Warnungen gesetzt, sodass man sich der dringenden Notwendigkeit einer Aktualisierung nur sehr schwer entziehen kann.

Ein kurzer Blick auf die Historie der Sicherheitshinweise von Mastodon zeigt, dass dies nicht das einzige Sicherheitsproblem ist, das die Plattform im vergangenen Jahr beheben musste. Im Juli 2023 traten zwei kritische Fehler auf, CVE-2023-36460 und CVE-2023-36459 .

Beides wurde von der deutschen Hackerfirma Cure53 im Rahmen einer von Mozilla angeforderten Prüfung gemeldet. Der erste hatte einen nahezu maximalen Schweregrad von 9,9 und betraf den Missbrauch des Medienverarbeitungscodes von Mastodon.

Die Verwendung speziell gestalteter Mediendateien könnte es Angreifern ermöglichen, beliebige Dateien zu erstellen oder zu überschreiben, was einen Denial-of-Service oder eine Remotecodeausführung ermöglichen würde.

Die zweite besteht darin, den HTML-Bereinigungsprozess von Mastodon zu umgehen, um bösartigen Code in Vorschaukarten einzubetten.

„Dies stellt einen Vektor für Cross-Site-Scripting (XSS)-Nutzlasten bereit, die im Browser eines Benutzers angezeigt werden können, wenn eine Vorschaukarte für einen bösartigen Link angeklickt wird“, heißt es in der Warnung. ®