Mastodon, la plate-forme de réseautage social décentralisée gratuite et open source, a corrigé une vulnérabilité critique qui permet aux attaquants de se faire passer pour et de prendre le contrôle de n’importe quel compte distant.
La plate-forme est devenue populaire après l’acquisition de Twitter par Elon Musk et compte désormais près de 12 millions d’utilisateurs répartis sur 11 000 instances.
Les instances (serveurs) sur Mastodon sont des communautés autonomes mais interconnectées (via un système appelé « fédération ») qui ont leurs propres directives et politiques, contrôlées par les propriétaires qui fournissent l’infrastructure et agissent en tant qu’administrateurs de leurs serveurs.
La faille nouvellement corrigée est suivie sous le numéro CVE-2024-23832 et découle d’une validation d’origine insuffisante dans Mastodon, permettant aux attaquants de se faire passer pour des utilisateurs et de s’emparer de leurs comptes.
La vulnérabilité est classée 9.4 dans CVSS v3. 1 et affecte toutes les versions de Mastodon antérieures à 3.5.17, 4.0.13, 4.1.13 et 4.2.5.
La faille a été corrigée à partir de la version 4.2.5, publiée hier, vers laquelle il est conseillé à tous les administrateurs de Mastodon server de passer dès que possible pour protéger les utilisateurs de leurs instances.
Mastodon a retenu les détails techniques pour le moment afin d’empêcher l’exploitation active de la vulnérabilité. Cependant, ils ont promis de partager plus d’informations sur CVE-2024-23832 le 15 février 2024.
Les utilisateurs de Mastodon ne peuvent rien faire pour remédier au risque de sécurité, mais ils doivent s’assurer que les administrateurs de l’instance à laquelle ils participent ont mis à niveau vers une version sécurisée d’ici la mi-février; sinon, leurs comptes seront sujets au détournement.
Heureusement, Mastodon a choisi d’alerter les administrateurs du serveur via une bannière prononcée sur la mise à jour critique, de sorte que toutes les instances activement maintenues devraient être informées de la mise à jour et passer à la version sécurisée dans les jours suivants.
Les répercussions de l’usurpation d’identité de compte et de la prise de contrôle dans Mastodon peuvent être importantes, affectant les utilisateurs individuels, les communautés et l’intégrité de la plate-forme, de sorte que CVE-2024-23832 est une faille grave.
En juillet 2023, l’équipe Mastodon a corrigé un autre bogue critique suivi sous le nom de CVE-2023-36460 et surnommé « TootRoot », qui permettait aux attaquants d’envoyer des « toots » (l’équivalent de tweets) qui créeraient des shells Web sur les instances cibles.
Les attaquants pourraient exploiter cette faille pour compromettre complètement les serveurs Mastodon, leur permettant d’accéder aux informations sensibles des utilisateurs, aux communications et aux portes dérobées des usines.