Los investigadores han descubierto un grave problema de seguridad en la plataforma de redes sociales Mastodon. Específicamente, la vulnerabilidad surgió debido a una mala configuración del sistema, lo que permitió a un adversario reemplazar el contenido del perfil de los usuarios de Mastodon con elementos aleatorios.
El investigador de seguridad Lenin Alevski amplió sus hallazgos sobre una vulnerabilidad grave de Mastodon que corría el riesgo de comprometer la integridad de las cuentas de los usuarios. Específicamente, notó una configuración incorrecta del sistema que le permitía acceder a los perfiles de otros usuarios y reemplazar el contenido (imágenes de perfil y publicaciones) con elementos aleatorios.
Mastodon es una plataforma de redes sociales de código abierto que rivaliza con Twitter. Su disponibilidad gratuita, distribución de código abierto y características llamativas han hecho que este sitio sea popular entre los usuarios, especialmente en la comunidad de ciberseguridad, lo que les permite «tocar» sus opiniones e información sin problemas.
Como se explica en su publicación, Alevski, después de enterarse de Mastodon en Twitter, creó una cuenta en el sitio. Luego notó una configuración incorrecta en la instancia de infosec.exchange en Mastodon, donde la mayoría de los usuarios de ciberseguridad solían recopilar información.
Específicamente, después de registrarse, se preguntó dónde se almacenaba el contenido subido por el usuario en la plataforma. Por lo tanto, desenterrar su código lo llevó a llegar a «https://media.infosec.exchange/infosecmedia», que mostraba el uso de cubos MinIO. Continuar le dio acceso a muchas más carpetas, incluso con credenciales anónimas. (Alevski llamó a este problema similar a la vulnerabilidad de cruce de directorios).
Luego, incluso podría descargar el logotipo del sitio y cargar una versión modificada, haciéndole consciente del acceso explícito. Como se menciona en su artículo, Alevski podría descargar todos los archivos del servidor, eliminarlos o incluso reemplazarlos con archivos arbitrarios.
Comentando más, afirmó,
Esta mala configuración del sistema a nivel de almacenamiento de objetos va en contra de cualquier mecanismo de seguridad que Mastodon tenga encima.
Tras este descubrimiento, Alevski informó del asunto a [email protected], quien reconoció la falla. Finalmente, el investigador confirmó que la vulnerabilidad había recibido un parche, asegurando rápidamente los archivos almacenados.
Sin embargo, el caso no se limitó únicamente a la instancia de infosec.exchange. Alevski examinó otros casos y encontró problemas similares que había informado anteriormente.
Háganos saber sus pensamientos en los comentarios.
¿Has notado aplicaciones desconocidas o un drenaje inesperado de la batería? Estos podrían ser indicios…
Saber cómo Restablecer un iPhone a su Estado de Fábrica es clave para solucionar problemas…
Motorola ha confirmado el lanzamiento de Moto G84 5G y Moto G54 5G en India,…
Recuerde WizardCoder, ¿el codificador de IA que cubrimos recientemente aquí en Windows Report? Nos jactamos…
Los investigadores han descubierto numerosos fallos de seguridad en el complemento WordPress Jupiter X Core…
Para solucionar problemas del sistema de PC con Windows, necesitará una herramienta dedicada Fortect es…