La red social descentralizada Mastodon ha revelado la existencia de una grave vulnerabilidad de seguridad que permite a actores maliciosos suplantar e incluso tomar control de cualquier cuenta en la plataforma.
«Debido a una validación de origen insuficiente en todo Mastodon, los atacantes pueden suplantar e tomar el control de cualquier cuenta remota», indicaron los mantenedores en un comunicado breve.
La vulnerabilidad, identificada como CVE-2024-23832, ha recibido una calificación de severidad de 9.4 sobre un máximo de 10. El investigador de seguridad arcanicanis ha sido reconocido por descubrir y reportar este fallo.
Se ha descrito como un «error de validación de origen» (CWE-346), que podría permitir a un atacante «acceder a cualquier funcionalidad que erróneamente esté accesible para la fuente».
Todas las versiones de Mastodon anteriores a la 3.5.17 son vulnerables, al igual que las versiones 4.0.x anteriores a la 4.0.13, las 4.1.x anteriores a la 4.1.13, y las 4.2.x anteriores a la 4.2.5.
Mastodon ha declarado que retendrá detalles técnicos adicionales sobre la falla hasta el 15 de febrero de 2024 para dar a los administradores tiempo suficiente para actualizar las instancias del servidor y evitar la probabilidad de explotación.
«Cualquier detalle que se brinde haría muy fácil desarrollar un exploit», señalaron.
La naturaleza federada de la plataforma significa que funciona en servidores independientes (conocidos como instancias), alojados y operados de forma independiente por respectivos administradores que establecen sus propias reglas y regulaciones aplicadas localmente.
Esto también implica que no solo cada instancia tiene un código de conducta único, términos de servicio, políticas de privacidad y directrices de moderación de contenido, sino que también requiere que cada administrador aplique actualizaciones de seguridad de manera oportuna para proteger las instancias contra riesgos potenciales.
La divulgación llega casi siete meses después de que Mastodon abordara otras dos fallas críticas (CVE-2023-36460 y 2023-36459) que podrían haber sido utilizadas por adversarios para provocar un denegación de servicio (DoS) o lograr la ejecución remota de código.
Importancia de la Respuesta Rápida
Dada la gravedad de esta vulnerabilidad y la naturaleza descentralizada de Mastodon, es crucial para los administradores de instancias aplicar las actualizaciones de seguridad pertinentes lo más pronto posible. La acción inmediata no solo protege a los usuarios de sus instancias contra posibles usurpaciones de identidad, sino que también fortalece el ecosistema global de Mastodon.
Los usuarios de Mastodon deben estar atentos a las comunicaciones de los administradores de sus instancias para estar al tanto de las actualizaciones y potenciales riesgos. Es recomendable practicar una seguridad digital proactiva, estando al tanto de cualquier actividad sospechosa en cuentas personales y reportándola de inmediato.
El Compromiso con la Seguridad
Este incidente subraya el desafío constante al que se enfrentan las plataformas digitales para mantenerse seguras frente a amenazas en evolución. A pesar de los mecanismos de seguridad en práctica, la detección de vulnerabilidades críticas nos recuerda la importancia de la vigilancia, tanto para los que mantienen estas plataformas como para sus usuarios.
El compromiso de Mastodon con la transparencia en la gestión de esta vulnerabilidad y el enfoque proactivo para abordarla antes de que los detalles se hagan públicos ilustra un esfuerzo riguroso para proteger su comunidad. Este enfoque cooperativo entre administradores y usuarios será vital para fortalecer la confianza y la seguridad en el ecosistema de Mastodon a largo plazo.
vía: the Hacker News
