Il network sociale decentralizzato Mastodon ha recentemente rivelato una grave vulnerabilità di sicurezza che consente agli attori malevoli di impersonare e prendere il controllo di qualsiasi account. Identificata come CVE-2024-23832, questa falla presenta un livello di gravità di 9.4 su 10, evidenziando l’importanza critica di una pronta risposta da parte degli amministratori delle istanze Mastodon.
La vulnerabilità, scoperta dal ricercatore di sicurezza arcanicanis, è stata descritta come un “errore di validazione dell’origine” (CWE-346), che potrebbe consentire a un attaccante di accedere a qualsiasi funzionalità normalmente accessibile alla fonte. Questo tipo di vulnerabilità espone seri rischi in termini di sicurezza e privacy per gli utenti della piattaforma.
Mastodon ha deciso di trattenere i dettagli tecnici specifici della vulnerabilità fino al 15 febbraio 2024, per dare agli amministratori il tempo di aggiornare le loro istanze server e ridurre il rischio di sfruttamento. Questa decisione sottolinea la delicatezza della situazione e l’importanza di un’azione tempestiva per garantire la sicurezza degli utenti.
La natura federata di Mastodon, che funziona su server separati (o istanze) ospitati e gestiti indipendentemente da amministratori diversi, complica ulteriormente la situazione. Ogni istanza ha il proprio codice di condotta, termini di servizio, politiche sulla privacy e linee guida sulla moderazione dei contenuti, richiedendo a ciascun amministratore di applicare tempestivamente gli aggiornamenti di sicurezza per proteggere le istanze da potenziali rischi.
Questa rivelazione arriva quasi sette mesi dopo che Mastodon ha affrontato altre due gravi vulnerabilità (CVE-2023-36460 e 2023-36459) che avrebbero potuto essere sfruttate dagli avversari per causare negazioni del servizio (DoS) o ottenere l’esecuzione di codice remoto.
La scoperta di questa vulnerabilità critica in Mastodon evidenzia l’importanza della vigilanza e della responsabilità degli amministratori nel mantenere aggiornate le piattaforme e proteggere gli utenti da potenziali minacce. La comunità di Mastodon, così come l’intero ecosistema delle reti sociali decentralizzate, deve rimanere allerta e proattiva nel contrastare le vulnerabilità di sicurezza per garantire un ambiente sicuro e affidabile per tutti i suoi utenti.