TootRoot permite ataque a servidores do Mastodon

O Mastodon é uma das mais conhecidas plataformas alternativas e abertas para o Twitter, permitindo aos utilizadores criarem os seus próprios servidores, caso assim o pretendam. No entanto, foi recentemente identificada uma vulnerabilidade no software, que caso seja explorada, pode permitir a terceiros controlarem os servidores.

Usando ficheiros especificamente criados para explorar a falha, um atacante pode enviar conteúdos maliciosos para os sistemas, e eventualmente, pode obter controlo dos mesmos. Atualmente existe mais de 13.000 instâncias separadas do Mastodon, dentro da rede comunitária do Fediverso.

A falha foi descoberta pelos investigadores da empresa Cure53, e foi apelidada de TootRoot. Esta permite que, enviando ficheiros criados especificamente para explorar a falha, e que podem ser enviados como conteúdo multimédia num toot – as mensagens do Mastodon – os atacantes podem obter acesso aos sistemas.

Os detalhes concretos da falha não foram completamente revelados, possivelmente para evitar a sua exploração em larga escala, mas de acordo com vários investigadores de segurança, a mesma possui a capacidade de implementar um backdoor nos sistemas, que pode comprometer os servidores em questão.

Este ataque pode levar a que os utilizadores mal-intencionados possam usar a mesma para obterem total controlo dos servidores, e obterem acesso a informação sensível.

Foi ainda descoberta uma segunda falha, que pode permitir explorar o sistema de thumbnails dos links para injetar código malicioso nos sistemas dos utilizadores. Outras duas falhas foram também descobertas, que podem permitir realizar ataques DoS contra os servidores, com o potencial de tornar os mesmos inoperacionais.

As falhas foram corrigidas com as versões 3.5.9, 4.0.5, e 4.1.3, sendo aconselhado a todos os administradores de instâncias do Mastodon que realizem a atualização o mais rapidamente possível.