Mastodon, un social network basato su un modello federato, ha recentemente pubblicato un aggiornamento di sicurezza per correggere una grave vulnerabilità, identificata come CVE-2023-36460. Questa vulnerabilità avrebbe potuto permettere agli hacker di creare file arbitrari attraverso allegati multimediali, compromettendo i server che inviano contenuti agli utenti di Mastodon.
Dettagli sulla vulnerabilità
La vulnerabilità, denominata #TootRoot dal ricercatore di sicurezza indipendente Kevin Beaumont, riguardava la possibilità di utilizzare file multimediali appositamente creati per indurre il codice di elaborazione dei media di Mastodon a creare file arbitrari in qualsiasi posizione. Ciò avrebbe permesso agli aggressori di creare e sovrascrivere qualsiasi file a cui Mastodon avesse accesso, consentendo attacchi di negazione del servizio e l’esecuzione remota di codice arbitrario. Inoltre, un aggressore avrebbe potuto inviare un “toot” (post) che creasse una shell web sulle istanze che elaboravano il toot in questione.
Impatto potenziale
Un aggressore che avesse il controllo su migliaia di istanze avrebbe potuto infliggere danni significativi agli utenti individuali e potenzialmente alla rete Internet più ampia. Ad esempio, le istanze compromesse avrebbero potuto inviare avvisi agli utenti istruendoli a scaricare e installare app dannose o portare l’intera infrastruttura a un arresto. Tuttavia, non ci sono indicazioni che la vulnerabilità sia mai stata sfruttata.
Azioni correttive e supporto della comunità
La patch di Mastodon è il risultato di recenti test di penetrazione finanziati dalla Mozilla Foundation. Renaud Chaput, co-fondatore e CTO di Mastodon, ha dichiarato che una società chiamata Cure53 ha eseguito i test di penetrazione e che le correzioni del codice sono state sviluppate dal team interno della Mastodon nonprofit. Mastodon ha inviato pre-annunci ai server più grandi nelle ultime settimane, informandoli della correzione in modo che fossero pronti a installare rapidamente la patch.