Mastodon sosyal ağına güç sağlayan açık kaynaklı yazılımın sahipleri, Perşembe günü kritik bir güvenlik açığını yamalayan bir güvenlik güncellemesi yayınladılar ve bu da bilgisayar korsanlarının içeriği bireysel kullanıcılara ileten sunuculara arka kapıdan girmesini mümkün kılıyor.
Mastodon, birleşik bir modele dayalıdır. Federasyon, “örnekler” olarak bilinen binlerce ayrı sunucudan oluşur. Bireysel kullanıcılar, örneklerden biriyle bir hesap oluşturur ve bu hesap, karşılığında diğer örneklerin kullanıcılarıyla içerik alışverişi yapar. Mastodon ile ilgili istatistikleri izleyen the-federation.info sitesine göre Mastodon’un bugüne kadar 24.000’den fazla örneği ve 14,5 milyon kullanıcısı var.
CVE-2023-36460 olarak izlenen kritik bir hata, Perşembe günü düzeltilen ve kritik olarak derecelendirilen iki güvenlik açığından biriydi. Toplamda, Mastodon Perşembe günü beş güvenlik açığını yamaladı.
Şimdiye kadar, sosyal ağı çalıştırmak için kullanılan yazılım örneklerinin bakımını yapan kar amacı gütmeyen Mastodon gGmbH, CVE-2023-36460 hakkında bunu “medya ekleri yoluyla keyfi dosya oluşturma” kusuru olarak tanımlamak dışında birkaç ayrıntı yayınladı.
Mastodon, “Saldırganlar, özenle hazırlanmış medya dosyalarını kullanarak, Mastodon’un medya işleme kodunun herhangi bir konumda rastgele dosyalar oluşturmasına neden olabilir.” ”
Bir Mastodon gönderisinde, bağımsız güvenlik araştırmacısı Kevin Beaumont bir adım daha ileri giderek, güvenlik açığından yararlanmanın birinin “toot’u işleyen örneklerde bir web kabuğu oluşturan bir toot göndermesine” izin verdiğini yazdı. #TootRoot adını, toots olarak bilinen kullanıcı gönderilerinin bilgisayar korsanlarının örneklere potansiyel olarak kök erişimi elde etmesine izin verdiği için icat etti.
Binlerce örneği kontrol eden bir saldırgan, bireysel kullanıcılara ve muhtemelen daha büyük İnternet’e her türlü zararı verebilir. Örneğin, ele geçirilen bulut sunucuları, kullanıcılara kötü amaçlı uygulamaları indirip yüklemeleri veya tüm altyapıyı durdurmaları talimatını veren uyarılar gönderebilir. Hatanın istismar edildiğine dair hiçbir gösterge yok.
Mastodon’un kurucu ortağı ve CTO’su Renaud Chaput, Ars’a Perşembe günkü yamanın Mozilla Vakfı’nın finanse ettiği son penetrasyon testi çalışmasının ürünü olduğunu söyledi. Cure53 adlı bir firmanın sızma testini gerçekleştirdiğini ve kod düzeltmelerinin Mastodon kar amacı gütmeyen kuruluş içindeki birkaç kişilik ekip tarafından geliştirildiğini söyledi. Mozilla, kendi Mastodon örneğini oluşturma planlarını duyurdu. Rinaud, Mastodon’un son haftalarda büyük sunuculara ön duyurular gönderdiğini ve onları hızlı bir şekilde yama yapmaya hazır olmaları için düzeltme hakkında bilgilendirdiğini söyledi.
Toplamda, Mastodon’un Perşembe yama grubu beş güvenlik açığını düzeltti. CVE-2023-36459 olarak izlenen hatalardan biri de kritik önem derecesi taşıyordu. Mastodon’un temel bilgileri, kusuru “oEmbed önizleme kartları aracılığıyla XSS” olarak tanımladı.
Saldırgan, özenle hazırlanmış oEmbed verilerini kullanarak Mastodon tarafından gerçekleştirilen HTML temizleme işlemini atlayabilir ve oEmbed ön izleme kartlarına rastgele HTML ekleyebilir. Bu, kötü amaçlı bir bağlantı için bir önizleme kartı tıklandığında kullanıcının tarayıcısında işlenebilen Siteler Arası komut dosyası çalıştırma (XSS) yükleri için bir vektör sunuyor.”
XSS açıkları, bilgisayar korsanlarının web sitelerine kötü amaçlı kod enjekte etmesine izin verir ve bu da siteyi ziyaret eden kişilerin tarayıcılarında çalışmasına neden olur. oEmbed, üçüncü taraf sitelerde bir URL’nin katıştırılmış temsiline izin veren açık bir biçimdir. Güvenlik açığıyla ilgili başka hiçbir ayrıntı hemen mevcut değildi.
Diğer üç güvenlik açığı, yüksek ve orta önem dereceleri taşıyordu. Girişte bir “Kör LDAP enjeksiyonu” eklediler [that[ allows the attacker to leak arbitrary attributes from LDAP database,” “Denial of Service through slow HTTP responses,” and “Verified profile links [that] yanıltıcı bir şekilde biçimlendirilebilir.”
Yamalar, sosyal medya devi Meta’nın platformdan ayrılan Twitter kullanıcılarını toplamayı amaçlayan yeni bir hizmet sunmasıyla birlikte geliyor. Bireysel Mastodon kullanıcılarının, abone oldukları bulut sunucusunun güncellemeleri yüklediğinden emin olmak dışında yapması gereken herhangi bir işlem yoktur.
Cure53’ün açıklamasını düzeltmek için güncellendi.