Falha grave permite tomar controlo de contas do Mastodon

Publicado em por

Falha grave permite tomar controlo de contas do Mastodon

O Mastodon é um sistema de rede social descentralizada, que permite a qualquer um iniciar a sua própria plataforma, baseada no protocolo ActivityPub. Esta rede é considerada uma das principais alternativas ao antigo Twitter, tendo ganho reputação depois de Elon Musk confirmar a compra da plataforma.

O facto de ser uma rede open source permite que qualquer um possa analisar o seu código fonte. E de acordo com uma recente descoberta, foi identificada uma vulnerabilidade na mesma, que pode permitir a atacantes obterem acesso a contas na plataforma.

As instâncias de Mastodon encontram-se separadas entre si, embora possam ser interligadas para comunicarem com os diferentes utilizadores nas mesmas. Estas instâncias são administradas por utilizadores variados, que são os administradores das mesmas.

Recentemente foi descoberta a falha CVE-2024-23832, que quando explorada, pode permitir aos atacantes terem controlo de contas dentro da plataforma, ou assumir o perfil das mesmas, enviando mensagens diretamente.

A vulnerabilidade afeta todas as instâncias com as versões anteriores à 3.5.17, 4.0.13, 4.1.13, e 4.2.5. A falha foi corrigida com a versão 4.2.5, que foi lançada durante o fim de semana, e será recomendado que todos os administradores de instâncias atualizem o mais rapidamente possível.

Os detalhes da falha não foram inteiramente revelados, para evitar que a mesma possa ser ativamente explorada, mas ficou indicado que os mesmos devem ser revelados a 15 de Fevereiro.

Os utilizadores do Mastodon e das instâncias da mesma não podem realizar nada para corrigir esta falha, além de incentivarem os administradores das instâncias a atualizarem o mais rapidamente possível. Felizmente, uma notificação de emergências foi enviada para todas as instâncias, pelo que os administradores das mesmas devem receber o alerta.

Caso a instância não seja atualizada, esta pode permitir aos atacantes tomarem controlo de praticamente qualquer conta na mesma, o que pode ter consequências graves se usada de forma incorreta, sobretudo tendo em conta que existem algumas contas importantes dentro do universo do Mastodon.