La vulnérabilité Mastodon permet aux pirates de détourner n’importe quel compte décentralisé
Le réseau social décentralisé Mastodon a révélé une faille de sécurité critique qui permet à des acteurs malveillants de usurper l’identité et de prendre le contrôle de n’importe quel compte.
“En raison d’une validation d’origine insuffisante dans tous les Mastodon, les attaquants peuvent usurper l’identité et prendre le contrôle de n’importe quel compte distant”, ont déclaré les responsables dans un avis laconique.
La vulnérabilité, identifiée comme CVE-2024-23832 , a un indice de gravité de 9,4 sur un maximum de 10. Le chercheur en sécurité arcanicanis a été reconnu pour l’avoir découverte et signalée.
Elle a été décrite comme une « erreur de validation d’origine » ( CWE-346 ), qui peut généralement permettre à un attaquant « d’accéder à toute fonctionnalité accessible par inadvertance à la source ».
Chaque version de Mastodon antérieure à 3.5.17 est vulnérable, tout comme les versions 4.0.x antérieures à 4.0.13, les versions 4.1.x antérieures à 4.1.13 et les versions 4.2.x antérieures à 4.2.5.
Mastodon a déclaré qu’il retiendrait les détails techniques supplémentaires sur la faille jusqu’au 15 février 2024, afin de donner aux administrateurs suffisamment de temps pour mettre à jour les instances du serveur et éviter tout risque d’exploitation.
“N’importe quelle quantité de détails rendrait très facile la découverte d’un exploit”, a-t-il déclaré.
La nature fédérée de la plate-forme signifie qu’elle fonctionne sur des serveurs distincts (alias instances), hébergés et exploités de manière indépendante par des administrateurs respectifs qui créent leurs propres règles et réglementations appliquées localement.
Cela signifie également que non seulement chaque instance dispose d’un code de conduite, de conditions d’utilisation, d’une politique de confidentialité et de directives de modération de contenu uniques, mais que cela oblige également chaque administrateur à appliquer des mises à jour de sécurité en temps opportun pour protéger les instances contre les risques potentiels.
La divulgation intervient près de sept mois après que Mastodon a corrigé deux autres failles critiques (CVE-2023-36460 et 2023-36459) qui auraient pu être utilisées par des adversaires pour provoquer un déni de service (DoS) ou réaliser l’exécution de code à distance.