PoC Published for Critical Mastodon Vulnerability – CVE-2024-23832 (CVSS 9.8)
2024/02/16 securityonline — 急速に人気を高めている、分散型 SNS プラットフォームの Mastodon が、深刻なセキュリティ脅威に直面している。先日にパッチが適用された脆弱性 CVE-2024-23832 の詳細が暴露され、PoC エクスプロイト・コードが野放し状態で出回っているのだ。つまり、Mastodon サーバの管理者にとって急務なのは、直ちにシステムをアップデートすることである。
Mastodon は、Twitter や Facebook などのセンタライズされたプラットフォームに代わる分散型プラットフォームを提供する。ActivityPub 上に構築された Mastodon は、押し付けがましい監視やデータ搾取を恐れることなく、ユーザーが自由につながり、情報を共有し、エンゲージするための環境を提供する。Elon Musk が Twitter を買収したことで、ユーザーの移動が急増し、Mastodon は加速している。
この脆弱性は、脅威アクターに対して Mastodon ユーザーへのなりすましを与えるものであり、完全なアカウント乗っ取りにつながる可能性があるという。あなたのポスト/インタラクション/ダイレクトメッセージなどが、悪意にさらされることを想像してみてほしい。推定 1200万人の Mastodon ユーザーは、何千台ものサーバに分散しているため、潜在的な被害は甚大になる。
セキュリティ研究者の Arcanicanis により発見された、この脆弱性は、Mastodon の信頼モデルの核心を突いている。不十分なオリジン検証の悪用に成功した攻撃者は、ユーザーになりすまし、アカウントを掌握する力を得る。この脆弱性の深刻度を計るCVSS スケールは、Github では 9.4、NVD では 9.8 と評価され、ユーザーのプライバシーとデータの完全性に重大な脅威をもたらしている。
Arcanicanis が、CVE-2024-23832 の技術的詳細と PoC エクスプロイトを公開したことで、脅威アクターたちによる悪用への道が容易になった。Mastodon の外部リソースの処理を操作することで、攻撃者はキャッシュを汚染し、リモート・アクターのプロパティを乗っ取り、さらにはサービス拒否攻撃を指揮できる。Mastodon 4.2.5 以前バージョンに存在する、この欠陥によりユーザーは無数のリスクにさらされ、アカウントの侵害を受けやすくなる。
Arcanicanis の研究者は、「Mastodon サーバは、外部リソースに対してクエリを実行する際に、クエリを実行した URI のドメインが、参照されたオブジェクトの ID と一致するかどうかをチェックしない。また、参照されたオブジェクトをデータベースに保存/更新する前に、代替ドメインでの参照を試みない。そのスコープは、リモート・ポスト/リモート・アクターなどのオブジェクト・タイプに適用される」と説明している。
バージョン 3.5.17/4.0.13/4.1.13/4.2.5 以前を運用している、すべてのインスタンスに脆弱性が存在するため、可能な限り早急にアップデートする必要がある。アップグレードしても、侵害されたアカウントを遡って保護することはできないが、攻撃ベクターをシャットダウンし、今後においてユーザーを保護できる。
Mastodon の膨大なユーザーを保護する責任は管理者にある。そのため、バージョン 4.2.5 のリリースが、この深刻な脆弱性の修正を提供する、重要な転換点となっている。それぞれの管理者は、潜在的な被害からユーザーを守るために、迅速にサーバをアップデートする必要がある。Mastodon ユーザーにとっては、十分な警戒が必要となる。このプラットフォームのセキュリティを、ダイレクトに管理することはできないが、インスタンス管理者が優先してアップデートを適用し、悪用に対する防御を強化することは可能である。
ときどき目にするようになってきた Mastodon ですが、分散サーバ型の SNS なのですね。なんとなく未来を感じさせてくれるアーキテクチャですが、このような脆弱性が、すべてのノードにおいて、速やかに対処されるのかどうかが、成長への分かれ道なるような気がします。セキュリティに関してだけは、センタライズされた何かがあって、強制的にアップデートしてしまう仕組みがあっても良さそうですね。よろしければ、Twitter で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.