bütün diş
Güvenlik araştırmacısı Lenin Alevski, sosyal medya platformu Mastodon’un birden çok örneğinin sistem yapılandırma sorunlarına karşı savunmasız olduğu konusunda uyarıyor.
Elon Musk’ın Twitter’ı devralmasına eşlik eden ayaklanmalara yanıt olarak eski Twitter kullanıcılarının çıkışı, dikkatleri Mastodon’a çevirdi.
Platformda tweet atmayı “tooting” ile değiştiren birçok infosec topluluğu için gidilecek mekân haline geldi.
Alevski gibi güvenlik araştırmacıları ve ondan önceki PortSwigger’den Gareth Heyes, ancak Mastodon’un güvenlik olgunluğunun eksik olduğunu gördüler.
Daha spesifik olarak, Alevski kısa bir süre önce infosec.değişim Mastodon örneği, erişim kontrollerini uygulayamayan depolama gruplarına yüklendi.
Teknik bir blog gönderisinde açıklanan bu eksiklik, bir saldırganın kullanıcının profil resmini veya rastgele içerikle yüklenen diğer herhangi bir içeriği mümkün kıldı.
En son güvenlik araştırması haberlerini takip edin
Güvenlik açığı, doğrudan mesajla paylaşılanlar da dahil olmak üzere sunucudan dosya indirmenin mümkün olduğu anlamına da geliyordu (Twitter’ın aksine Mastodon’daki DM’ler, şifrelemeyi atlar). Sunucudaki dosyaların silinmesi de dahil olmak üzere yıkıcı saldırılar da mümkündü.
Her türlü yaramazlık ve trollemeye kapı açan güvenlik açığı, Alevski’nin sorunu sistem yöneticisi Jerry Bell’e bildirmesinin ardından hızla giderildi. infosec.değişim Mastodon örneği.
Bell söyledi günlük yudum: “Paket üzerinde yanlış yapılandırılmış bir erişim politikasıydı. Yazma erişimini varsayılan erişim yolundan kaldırmamıştım.”
Sorun çözüldükten sonra yayınlanan bir blog gönderisinde Alevski, “nesne depolama düzeyinde sistem yanlış yapılandırması, Mastodon’un en üstte sahip olduğu güvenlik mekanizmasını bozguna uğratıyor” dedi.
Alevski sözlerini şu uyarıda bulundu: infosec.değişim Mastodon ekosistemindeki münferit sistem konfigürasyon problemlerinden çok uzaktır. Güvenlik araştırmacısı daha sonra diğer Mastodon örneklerinde hatalı yapılandırmalar keşfetti.
“Birkaç tanesinde (diğer örneklerde) benzer problemler buldum ve [have] güvenlik açıklarını zaten bildirmişti,” diyor Alevski.
İLİŞKİLİ Mastodon kullanıcıları parola çalma saldırılarına karşı savunmasız