Mastodon sunucularını etkileyen (artık yamalı) bir dizi soruna göz atıyoruz. TootRoot için düzeltmeyi uygulama zamanı.
Twitter’ın en büyük rakiplerinden biri olan Mastodon, kısa süre önce (en kötü durumda) bulut sunucusunun sunucusunda dosya oluşturulmasına izin veren dört sorunu düzeltmeyi tamamladı. Ana satış noktası, farklı sunucularda yaşayan ancak yine de iletişim kurabilen çok sayıda ayrı topluluk olan Mastodon’a kusurlar, bir sızma testi şirketinden denetçiler tarafından bildirildi.
CVE-2023-36460, TootRoot olarak adlandırılan, yukarıda belirtilen “en kötü durum” dur. Mastodon’a aşina değilseniz, kullanıcı gönderilerine “Toots” adı verilir (Twitter’daysanız tweet’lerin aksine). Twitter’da olduğu gibi, medya dosyalarını gönderebilirsiniz ve sorunun kaynağı burasıdır.
Bleeping Computer’a göre, Mastodon’un medya işleme koduyla ilgili bir sorun, sonuç olarak çok çeşitli sorunların ortaya çıkabileceği anlamına geliyordu. Hizmet Reddi ve keyfi uzaktan kod yürütmeden bahsediliyor ve araştırmacı Kevin Beaumont, hileli Toot’u işleyen örneklerde web kabuklarının nasıl oluşturulabileceğine odaklanıyor.
Diğer güvenlik açıkları arasında, potansiyel olarak hesapları ele geçirmek veya başkalarını taklit etmek için kullanılan siteler arası komut dosyası çalıştırma (XSS) (CVE-2023-36459) ve “doğrulanmış profil bağlantıları” (CVE-2023-36462) aracılığıyla kimlik avı yapmak için kullanılan bir teknik yer alıyor. Son kusur, yavaş HTTP yanıtları (CVE-2023-36461) aracılığıyla Hizmet Reddi’ne (DoS) izin verdi.
Yamalar sunucu güncellemeleri olduğundan, Mastodon yöneticilerinin sunucularının güvenliğini sağlamaları önemlidir. Mastodon 3.5.9, 4.0.5 ve 4.1.3 sürümlerinde çeşitli sorunlar giderildi. Siz güncelleme yapana kadar, Mastodon sürüm 3.5.0’ın üzerindeki her şey risk altında olabilir.
Mastodon, her tür ilgi alanına ve faaliyete hitap eden birçok küçük (genellikle yalnızca davet edilen) toplulukların oluşturulmasına izin verir. Böyle bir platformdaki herhangi bir güvenlik sorununun, risk altındaki topluluklara yönelik belirli hedefli taciz biçimlerine yol açma olasılığı vardır.
Gerçekten de, güvenlik görevlileri tarafından doldurulan Mastodon bulut sunucuları bile tam olarak zarar görmeyecek durumda değildir. Geçen yılın Kasım ayında, birisi bir HTML enjeksiyon güvenlik açığı aracılığıyla parolaları çalmanın bir yolunu keşfetti. Ne yazık ki Infosec Exchange’in iyi insanları için, güvenlik açığı…tahmin ettiniz…Infosec Exchange tarafından kullanılan Glitch çatalını etkiledi. Komik bir yan not olarak, sorun, insanların Twitter’da kazı olarak kullanıcı adlarına “doğrulandı” simgesi koymaları nedeniyle keşfedildi.
Başka bir yerde, yanlış yapılandırılmış bir sunucunun Mastodon kullanıcı verilerini çaldığı tespit edildi. Hesap ve görünen ad gibi şeyleri profil resimlerinin yanı sıra dahil etmek yerine kazınan veriler olağanüstü bir şey olmasa da, çevrimiçi olarak ne paylaştığınıza dikkat etmeniz için değerli bir hatırlatmaydı.
Neyse ki birçok Mastodon yöneticisi bu riskleri ciddiye alıyor ve çoğu önemli örnek, zaman içinde bulunan çeşitli sorunlar için gerekli yamaları zaten çalıştırıyor olmalıdır. Mastodon’a geçişinizi kendiniz yapmak istiyorsanız, hesap oluşturma ve sunucu kaydından gönderi göndermeye kadar her konuda size yol gösteren kılavuzumuza göz atmalısınız. Mutlu Tooting!
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.