Mastodon, la piattaforma di microblogging federata e open source, nelle ultime ore sta affrontando una grave vulnerabilità di sicurezza che consente il furto di identità degli utenti. La falla è stata identificata con la CVE-ID CVE-2024-23832; ha ricevuto un punteggio di gravità di 9,4 su 10 secondo il Common Vulnerability Scoring System. Anche su GitHub è stata annunciata questa vulnerabilità.
La falla consente agli aggressori di prendere il controllo di qualsiasi account senza necessità di interagire direttamente con l’utente bersaglio; come ad esempio ingannarlo con un link malevolo. I dettagli specifici della vulnerabilità sono stati deliberatamente omessi dall’annuncio pubblico. Questo per dare tempo agli amministratori di aggiornare i loro sistemi.
Ogni versione di Mastodon precedente alla 3.5.17 è vulnerabile; così come le versioni 4.0.x precedenti alla 4.0.13, la versione 4.1.x precedente alla 4.1.13 e le versioni 4.2.x precedenti alla 4.2.5.
Risoluzione del problema
Il problema di sicurezza è stato scoperto e comunicato in modo riservato. Così si evita di fornire informazioni che potrebbero aiutare gli aggressori a sfruttare la falla prima che gli amministratori avessero la possibilità di aggiornare i loro sistemi.
La reazione della comunità a questa notizia è stata rapida. Gli amministratori di grandi istanze della piattaforma hanno iniziato immediatamente l’aggiornamento dei loro sistemi. Questo incidente solleva preoccupazioni significative sulla sicurezza delle piattaforme social decentralizzate. Per queste piattaforme la gestione della sicurezza può variare notevolmente da un’istanza all’altra.
Questa non è l’unica vulnerabilità che ha colpito la piattaforma social di recente. In passato, sono state scoperte altre vulnerabilità critiche; per esempio, quella denominata TootRoot con un punteggio di 9.9/10, che sono state risolte con aggiornamenti successivi.
Mastodon continua a crescere
La piattaforma Mastodon ha visto un aumento significativo di utenti a seguito di controversie su altre piattaforme di social media come Twitter. Tuttavia, la crescita ha portato anche a una maggiore attenzione da parte della comunità infosec, che ha identificato e segnalato vulnerabilità e problemi di configurazione che possono compromettere la sicurezza delle istanze della piattaforma social.
Se sei un utente Mastodon, in questo momento non puoi fare molto se non avere fiducia in un immediato aggiornamento della tua istanza. Se vuoi conoscere la versione della tua istanza, vai a questo link:
https://<istanza mastodon>/about
In fondo alla pagina About troverai la versione. Per esempio sulla istanza italiana mastodon.uno , se punti l’indirizzo https://mastodon.uno/about in fondo alla pagina troverai questa informazione, che ti indica la versione 4.2.5 che dovrebbe essere l’ultima e sicura.
È fondamentale che tutti gli amministratori di istanze Mastodon rimangano vigili e installino tempestivamente gli aggiornamenti di sicurezza per mantenere la piattaforma sicura e affidabile. Mentre scrivo, ho controllato ora alcune istanze a caso, senza trovare istanze con versioni obsolete; al contrario ho trovato alcune istanze che usano anche ultime versioni di sviluppo come la 4.3.0-alpha.1.
Conclusione
Gli amministratori delle istanze Mastodon sembra che abbiano reagito prontamente al problema. L’incidente di furto d’identità su Mastodon serve come campanello d’allarme per la comunità dei social media decentralizzati. Mentre Mastodon continua a crescere in popolarità, la sicurezza e la privacy degli utenti devono rimanere al centro delle preoccupazioni degli sviluppatori e degli amministratori delle istanze.