نشر مشرفو البرامج مفتوحة المصدر التي تشغل شبكة Mastodon الاجتماعية تحديثًا أمنيًا يوم الخميس يصحح ثغرة خطيرة تجعل من الممكن للمتسللين إخفاء الخوادم التي تدفع المحتوى إلى المستخدمين الفرديين.
يعتمد Mastodon على نموذج متحد. يتكون الاتحاد من آلاف الخوادم المنفصلة المعروفة باسم “الطبعات”. ينشئ المستخدمون الفرديون حسابًا بإحدى الطبعات ، والتي بدورها تتبادل المحتوى من وإلى مستخدمي مثيلات أخرى. حتى الآن ، لدى Mastodon أكثر من 24000 مثيل و 14.5 مليون مستخدم ، وفقًا لـ-federation.info ، وهو موقع يتتبع الإحصائيات المتعلقة بـ Mastodon.
كان الخطأ الحرج الذي تم تتبعه مثل CVE-2023-36460 واحدًا من ثغرتين تم تصنيفهما على أنهما حرجان وتم إصلاحهما يوم الخميس. بشكل عام ، قامت Mastodon يوم الخميس بتصحيح خمس نقاط ضعف.
حتى الآن ، أصدرت Mastodon gGmbH ، المنظمة غير الربحية التي تحافظ على مثيلات البرامج المستخدمة لتشغيل الشبكة الاجتماعية ، بعض التفاصيل حول CVE-2023-36460 بخلاف وصفها بأنها عيب “إنشاء ملف تعسفي من خلال مرفقات الوسائط”.
قال ماستودون: “باستخدام ملفات الوسائط المصممة بعناية ، يمكن للمهاجمين أن يتسببوا في إنشاء كود معالجة الوسائط الخاص بـ Mastodon لإنشاء ملفات عشوائية في أي مكان”. “يسمح هذا للمهاجمين بإنشاء أي ملف يمكن لـ Mastodon الوصول إليه والكتابة فوقه ، مما يسمح برفض الخدمة وتنفيذ التعليمات البرمجية التعسفي عن بُعد.” . “
في إحدى منشورات Mastodon ، ذهب الباحث الأمني المستقل كيفن بومونت خطوة إلى الأمام ، حيث كتب أن استغلال الثغرة الأمنية سمح لشخص ما “بإرسال بوق مما يجعله على شبكة الإنترنت في الحالات التي ذكرت تلك العملية أنها توت”. لقد صاغ الاسم #TootRoot لأن منشورات المستخدم ، المعروفة باسم toots ، سمحت للقراصنة بإمكانية الوصول إلى الجذر إلى المثيلات.
يمكن للمهاجم الذي يتحكم في آلاف الحالات أن يلحق جميع أنواع الضرر بالمستخدمين الفرديين وربما الإنترنت الأكبر. على سبيل المثال ، قد ترسل المثيلات المخترقة تنبيهات إلى المستخدمين لإرشادهم إلى تنزيل التطبيقات الضارة وتثبيتها أو إيقاف البنية الأساسية بالكامل. لا توجد مؤشرات على أن الخطأ قد تم استغلاله على الإطلاق.
التصحيح يوم الخميس هو نتاج أعمال اختبار الاختراق الأخيرة التي مولتها مؤسسة موزيلا ، كما قال المؤسس المشارك لشركة ماستودون و CTO رينو شابوت لآرس. وقال إن باحثًا يستخدم المقبض @ cure53 أجرى الاختبار pentesting وأن إصلاحات الكود تم تطويرها من قبل فريق مكون من عدة أشخاص داخل منظمة Mastodon غير الربحية. أعلنت Mozilla عن خطط لإنشاء مثيل Mastodon الخاص بها. قال Rinaud أن Mastodon أرسلت إعلانات مسبقة إلى خوادم كبيرة في الأسابيع الأخيرة ، لإبلاغهم بالإصلاح حتى يكونوا جاهزين للتصحيح بسرعة.
بشكل عام ، أصلحت مجموعة التصحيح الخاصة بـ Mastodon يوم الخميس خمس نقاط ضعف. أحد الأخطاء ، الذي تم تتبعه باعتباره CVE-2023-36459 ، يحمل أيضًا تصنيفًا حرجًا للخطورة. وصفت كتابة ماستودون العارية الخلل بأنه “XSS من خلال بطاقات معاينة oEmbed.”
وتابعت: “باستخدام بيانات oEmbed المصممة بعناية ، يمكن للمهاجم تجاوز تعقيم HTML الذي تقوم به Mastodon وتضمين HTML تعسفي في بطاقات المعاينة oEmbed. يقدم هذا متجهًا لحمولات البرمجة النصية عبر المواقع (XSS) التي يمكن عرضها في متصفح المستخدم عند النقر فوق بطاقة معاينة لارتباط ضار. “
تسمح عمليات استغلال XSS للمتسللين بحقن شفرة ضارة في مواقع الويب ، مما يؤدي بدوره إلى تشغيلها في متصفحات الأشخاص الذين يزورون الموقع. oEmbed هو تنسيق مفتوح للسماح بتمثيل مضمن لعنوان URL على مواقع الجهات الخارجية. لم تتوفر على الفور تفاصيل أخرى حول الثغرة الأمنية.
تحمل الثغرات الثلاث الأخرى تصنيفات عالية ومتوسطة الخطورة. وشملت “حقنة LDAP العمياء في تسجيل الدخول [that[ allows the attacker to leak arbitrary attributes from LDAP database,” “Denial of Service through slow HTTP responses,” and “Verified profile links [that] يمكن تنسيقه بطريقة مضللة “.
تأتي التصحيحات في الوقت الذي أطلقت فيه شركة Meta العملاقة لوسائل التواصل الاجتماعي خدمة جديدة تهدف إلى التقاط مستخدمي Twitter الذين يغادرون المنصة. لا يوجد أي إجراء يحتاج مستخدمو Mastodon الفرديون إلى اتخاذه بخلاف التأكد من أن المثيل الذي اشتركوا فيه قد قام بتثبيت التحديثات.
