Ücretsiz ve açık kaynaklı, merkezi olmayan sosyal ağ platformu Mastodon, saldırganların herhangi bir uzak hesabı taklit etmesine ve ele geçirmesine olanak tanıyan kritik bir güvenlik açığını düzeltti.
Platform, Elon Musk’un Twitter’ı satın almasının ardından popüler hale geldi ve şu anda 11.000 örneğe yayılmış yaklaşık 12 milyon kullanıcıya sahip.
Mastodon’daki örnekler (sunucular), kendi yönergeleri ve politikaları olan, altyapıyı sağlayan ve sunucularının yöneticileri olarak hareket eden sahipleri tarafından kontrol edilen, özerk ancak birbirine bağlı (“federasyon” olarak bilinen bir sistem aracılığıyla) topluluklardır.
Yeni düzeltilen kusur, CVE-2024-23832 olarak izleniyor ve Mastodon’daki yetersiz kaynak doğrulamasından kaynaklanıyor ve saldırganların kullanıcıların kimliğine bürünmesine ve hesaplarını ele geçirmesine olanak tanıyor.
Güvenlik açığı CVSS v3.1’de 9.4 olarak derecelendirilmiştir ve 3.5.17, 4.0.13, 4.1.13 ve 4.2.5’ten önceki tüm Mastodon sürümlerini etkilemektedir.
Kusur, dün yayınlanan 4.2.5 sürümünde düzeltildi ve tüm Mastodon sunucu yöneticilerine, bulut sunucularının kullanıcılarını korumak için mümkün olan en kısa sürede yükseltme yapmaları tavsiye edildi.
Mastodon, güvenlik açığından aktif olarak yararlanılmasını önlemek için şimdilik teknik ayrıntıları gizledi. Ancak 15 Şubat 2024’te CVE-2024-23832 hakkında daha fazla bilgi paylaşacaklarına söz verdiler.
Mastodon kullanıcıları güvenlik riskini gidermek için herhangi bir şey yapamazlar ancak katıldıkları bulut sunucusunun yöneticilerinin Şubat ortasına kadar güvenli bir sürüme yükseltme yapmalarını sağlamalıdırlar; aksi takdirde hesapları ele geçirilmeye açık olacaktır.
Neyse ki Mastodon, sunucu yöneticilerini kritik güncelleme hakkında belirgin bir banner aracılığıyla uyarmayı tercih etti, bu nedenle aktif olarak bakımı yapılan tüm bulut sunucularının güncellemeden haberdar olması ve önümüzdeki günlerde güvenli sürüme geçmesi gerekiyor.
Mastodon’da hesap kimliğine bürünme ve ele geçirmenin sonuçları önemli olabilir; bireysel kullanıcıları, toplulukları ve platformun bütünlüğünü etkileyebilir; dolayısıyla CVE-2024-23832 ciddi bir kusurdur.
Temmuz 2023’te Mastodon ekibi, CVE-2023-36460 olarak takip edilen ve ‘TootRoot’ olarak adlandırılan başka bir kritik hatayı düzeltti; bu, saldırganların hedef örneklerde web kabukları oluşturacak “toots” (tweet eşdeğeri) göndermesine olanak tanıyordu.
Saldırganlar bu kusurdan yararlanarak Mastodon sunucularını tamamen tehlikeye atabilir ve hassas kullanıcı bilgilerine, iletişimlere ve tesis arka kapılarına erişmelerine olanak tanıyabilir.