Децентрализованная социальная сеть Mastodon, набравшая популярность после последних изменений в Twitter, выпустила обновление безопасности для исправления критических уязвимостей, которые могли подвергнуть риску миллионы пользователей. Наиболее серьезная проблема получила имя TootRoot и вынуждала код обработки мультимедиа в Mastodon создавать файлы в произвольном месте.
Уязвимость TootRoot получила идентификатор CVE-2023-36460. Разработчики описали эту проблему как «произвольное создание файлов с помощью мультимедийных вложений».
«Используя тщательно подготовленные медиафайлы, злоумышленники могли заставить код обработки мультимедиа Mastodon создавать произвольные файлы в любом месте», — объяснили в НКО Mastodon gGmbH.
Известный ИБ-эксперт Кевин Бомонт (Kevin Beaumont) пишет, что использование уязвимости позволяло создать и запостить «сообщение, которое создает веб-шелл для инстансов, обрабатывающих это сообщение». Именно он придумал для уязвимости название TootRoot: toot’ами называют посты в Mastodon (по аналогии с твитами в Twitter), и именно сообщения пользователей позволяли получить root-доступ к инстансам.
Эксперты объясняют, что злоумышленник, контролирующий тысячи инстансов Mastodon, мог нанести урон как отдельным пользователям, так и интернету в целом. Например, захваченные инстансы могли отправлять пользователям сообщения с инструкциями по загрузке и установке вредоносных приложений или могли спровоцировать сбой во всей инфраструктуре в целом.
Патчи, выпущенные на этой неделе, стали результатом недавнего аудита безопасности и пентестинга Mastodon, который финансировала Mozilla Foundation. Соучредитель и технический директор социальной сети Рено Чапут (Renaud Chaput) сообщил СМИ, что аудитом занималась фирма под названием Cure53, а исправления были разработаны командой внутри Mastodon. В итоге в последние недели разработчики рассылали уведомления всем крупным серверам, информируя их администраторов о необходимости установить обновление сразу же, как только оно станет доступно.
В общей сложности в Mastodon исправили пять уязвимостей, и еще одной из ошибок, CVE-2023-36459, тоже был присвоен статус критической. В обзоре Mastodon этот недостаток описан как XSS-проблема, связанная с предварительным просмотром oEmbed.
«Используя тщательно обработанные данные oEmbed, злоумышленник может обойти очистку HTML, выполняемую Mastodon, и внедрить произвольный HTML в карты предварительного просмотра oEmbed. Это создает вектор для доставки XSS-пейлоада, который может рендериться в браузере пользователя после клика по вредоносной ссылке», — пишут разработчики.
Три оставшиеся уязвимости имеют более низкую степень серьезности. Среди них: слепая LDAP-инъекция при логине; отказ в обслуживании посредством медленных ответов HTTP; а также проблема с форматированием ссылок на подтвержденные профили.
