Das dezentralisierte soziale Netzwerk Mastodon hat eine kritische Sicherheitslücke bekannt gegeben, die es bösartigen Akteuren ermöglicht, Konten zu imitieren und zu übernehmen.
„Aufgrund unzureichender Ursprungsprüfung in allen Mastodon-Versionen können Angreifer jedes entfernte Konto imitieren und übernehmen“, so die Betreiber in einer knappen Warnung.
Die Schwachstelle, die als CVE-2024-23832 verfolgt wird, hat eine Schwerebewertung von 9,4 von maximal 10. Der Sicherheitsforscher arcanicanis wird mit der Entdeckung und Meldung der Lücke belohnt.
Es wurde als „Fehler bei der Ursprungskontrolle“ (CWE-346) beschrieben, der einem Angreifer normalerweise ermöglicht, „auf jede Funktion zuzugreifen, die versehentlich für den Zugriff von außen offen ist.“
Jede Mastodon-Version vor 3.5.17 ist anfällig, ebenso wie die Versionen 4.0.x vor 4.0.13, 4.1.x vor 4.1.13 und 4.2.x vor 4.2.5.
Mastodon gab bekannt, dass es weitere technische Details über die Lücke bis zum 15. Februar 2024 nicht preisgeben wird, um Serverbetreibern ausreichend Zeit zu geben, ihre Instanzen zu aktualisieren und die Wahrscheinlichkeit einer Ausnutzung zu verringern.
„Jede Menge an Details würde es sehr einfach machen, einen Angriff zu entwickeln“, erklärte Mastodon.
Die föderative Natur der Plattform bedeutet, dass sie auf separaten Servern (sogenannten Instanzen) läuft, die unabhängig voneinander von jeweiligen Administratoren gehostet und betrieben werden, die ihre eigenen Regeln und Vorschriften erstellen, die lokal durchgesetzt werden.
Dies bedeutet auch, dass nicht nur jede Instanz einen einzigartigen Verhaltenskodex, Nutzungsbedingungen, Datenschutzrichtlinien und Richtlinien zur Inhaltsmoderation hat, sondern dass auch jeder Administrator Sicherheitsupdates zeitnah anwenden muss, um die Instanzen gegen potenzielle Risiken abzusichern.