Les responsables du logiciel open source qui alimente le réseau social Mastodon ont publié jeudi une mise à jour de sécurité qui corrige une vulnérabilité critique permettant aux pirates de détourner les serveurs qui poussent le contenu vers des utilisateurs individuels.
Mastodon est basé sur un modèle fédéré. La fédération comprend des milliers de serveurs distincts appelés « instances ». Les utilisateurs individuels créent un compte avec l’une des instances, qui à leur tour échangent du contenu vers et depuis les utilisateurs d’autres instances. À ce jour, Mastodon compte plus de 24 000 instances et 14,5 millions d’utilisateurs, selon the-federation.info, un site qui suit les statistiques liées à Mastodon.
Un bogue critique identifié comme CVE-2023-36460 était l’une des deux vulnérabilités classées comme critiques qui ont été corrigées jeudi. Au total, Mastodon a corrigé jeudi cinq vulnérabilités.
Jusqu’à présent, Mastodon gGmbH, l’organisation à but non lucratif qui gère les instances logicielles utilisées pour faire fonctionner le réseau social, a publié peu de détails sur CVE-2023-36460, à part le décrire comme une faille de « création arbitraire de fichiers via des pièces jointes multimédias ».
« En utilisant des fichiers multimédias soigneusement conçus, les attaquants peuvent amener le code de traitement multimédia de Mastodon à créer des fichiers arbitraires à n’importe quel endroit », a déclaré Mastodon. .”
Dans un article de Mastodon, le chercheur indépendant en sécurité Kevin Beaumont est allé plus loin en écrivant que l’exploitation de la vulnérabilité permettait à quelqu’un « d’envoyer un toot qui crée un webshell sur les instances qui traitent ledit toot ». Il a inventé le nom #TootRoot parce que les messages d’utilisateurs, connus sous le nom de toots, permettaient aux pirates d’obtenir potentiellement un accès root aux instances.
Un attaquant contrôlant des milliers d’instances pourrait infliger toutes sortes de dommages aux utilisateurs individuels et éventuellement à l’ensemble de l’Internet. Par exemple, les instances piratées pourraient envoyer des alertes aux utilisateurs leur demandant de télécharger et d’installer des applications malveillantes ou d’arrêter toute l’infrastructure. Rien n’indique que le bogue ait jamais été exploité.
Le patch de jeudi est le produit de récents tests de pénétration financés par la Fondation Mozilla, a déclaré à Ars le cofondateur et CTO de Mastodon, Renaud Chaput. Il a déclaré qu’une entreprise appelée Cure53 avait effectué le pentesting et que les correctifs de code avaient été développés par l’équipe de plusieurs personnes au sein de l’association à but non lucratif Mastodon. Mozilla a annoncé son intention de créer sa propre instance Mastodon. Rinaud a déclaré que Mastodon avait envoyé des pré-annonces aux gros serveurs au cours des dernières semaines, les informant du correctif afin qu’ils soient prêts à corriger rapidement.
Au total, le lot de correctifs de jeudi de Mastodon a corrigé cinq vulnérabilités. L’un des bogues, suivi sous le nom de CVE-2023-36459, portait également une cote de gravité critique. La description sommaire de Mastodon décrit la faille comme un « XSS via les cartes de prévisualisation oEmbed ».
Il a poursuivi : « En utilisant des données oEmbed soigneusement conçues, un attaquant peut contourner la désinfection HTML effectuée par Mastodon et inclure du code HTML arbitraire dans les cartes de prévisualisation oEmbed. Cela introduit un vecteur pour les charges utiles Cross-site-scripting (XSS) qui peuvent être rendues dans le navigateur de l’utilisateur lorsqu’une carte de prévisualisation d’un lien malveillant est cliqué.
Les exploits XSS permettent aux pirates d’injecter du code malveillant dans les sites Web, ce qui le fait s’exécuter dans les navigateurs des personnes visitant le site. oEmbed est un format ouvert permettant une représentation intégrée d’une URL sur des sites tiers. Aucun autre détail sur la vulnérabilité n’était immédiatement disponible.
Les trois autres vulnérabilités avaient des cotes de gravité élevées et moyennes. Ils ont inclus une « injection LDAP aveugle dans la connexion [that[ allows the attacker to leak arbitrary attributes from LDAP database,” “Denial of Service through slow HTTP responses,” and “Verified profile links [that] peut être formaté de manière trompeuse.
Les correctifs arrivent alors que le géant des médias sociaux Meta a déployé un nouveau service destiné à récupérer les utilisateurs de Twitter qui quittent la plate-forme. Les utilisateurs individuels de Mastodon n’ont aucune action à effectuer autre que de s’assurer que l’instance à laquelle ils sont abonnés a installé les mises à jour.
Mise à jour pour corriger la description de Cure53.
