출처
Mastodon vulnerability allows attackers to take over accounts
Mastodon, the free and open-source decentralized social networking platform, has fixed a critical vulnerability that allows attackers to impersonate and take over any remote account.
www.bleepingcomputer.com
본문 내용
무료 오픈 소스 분산형 소셜 네트워킹 플랫폼인 Mastodon은 공격자가 원격 계정을 사칭하고 탈취할 수 있는 심각한 취약점을 수정했다. 이 플랫폼은 Elon Musk가 Twitter를 인수한 이후 인기를 얻었으며 현재 11,000개의 인스턴스에 걸쳐 거의 1200만 명의 사용자를 보유하고 있다. Mastodon의 인스턴스(서버)는 자율적이지만 인프라를 제공하고 서버의 관리자 역할을 하는 소유자에 의해 제어되는 자체 지침과 정책을 갖는 상호 연결("연합"이라는 시스템을 통해) 커뮤니티이다.
새로 수정된 결함은 CVE-2024-23832로 추적되며 Mastodon의 출처 확인이 불충분하여 공격자가 사용자를 사칭하고 계정을 탈취할 수 있기 때문에 발생한다. 이 취약점의 등급은 CVSS v3.1에서 9.4이며 3.5.17, 4.0.13, 4.1.13 및 4.2.5 이전의 모든 Mastodon 버전에 영향을 미친다. 이 결함은 4.2.5에서 수정되었으며, 모든 Mastodon 서버 관리자는 인스턴스 사용자를 보호하기 위해 가능한 한 빨리 업그레이드하는 것이 좋다. Mastodon은 취약점의 적극적인 악용을 방지하기 위해 기술적 세부 사항을 공개하지 않았으나, 2024년 2월 15일에 CVE-2024-23832에 대한 추가 정보가 공유된다.
마스토돈 사용자는 보안 위험을 해결하기 위해 아무것도 할 수 없지만, 자신이 참여하는 인스턴스의 관리자가 2월 중순까지 안전한 버전으로 업그레이드했는지 확인해야 한다. 그렇지 않으면 계정이 도용되기 쉽다. 다행히 Mastodon은 중요한 업데이트에 대해 뚜렷한 배너를 통해 서버 관리자에게 알리도록 했다. 따라서 적극적으로 유지 관리되는 모든 인스턴스는 업데이트를 인식하고 다음 날 안전한 버전으로 이동될 것이다.
Mastodon의 계정 사칭 및 탈취는 개인 사용자, 커뮤니티 및 플랫폼 무결성에 영향을 미쳐 심각한 영향을 미칠 수 있으므로 CVE-2024-23832는 심각한 결함이다.
2023년 7월 Mastodon 팀은 CVE-2023-36460으로 추적되고 'TootRoot'라는 또 다른 중요한 버그를 수정했다. 이를 통해 공격자는 대상 인스턴스에 웹 셸을 생성하는 "toots"(트윗과 동일)를 보낼 수 있었다. 공격자는 이 결함을 활용하여 Mastodon 서버를 완전히 손상시켜 민감한 사용자 정보에 액세스 하고, 백도어를 심을 수 있다.
CVE-2024-23832(NIST)
Mastodon은 ActivityPub을 기반으로 하는 무료 오픈 소스 소셜 네트워크 서버이다. Mastodon은 인증을 위한 LDAP 구성을 허용한다. 모든 Mastodon의 출처 확인이 충분하지 않기 때문에 공격자는 모든 원격 계정을 사칭하여 탈취할 수 있다. 3.5.17 이전의 모든 Mastodon 버전은 취약하며, 4.0.13 이전의 4.0.x 버전, 4.1.13 이전의 4.1.x 버전, 4.2.5 이전의 4.2.x 버전도 취약하다.
ActivityPub
액티비티펍(ActivityPub)은pump.io 의 액티비티펌프(ActivityPump) 프로토콜을 기반으로 하는 개방형 분산형 소셜 네트워킹 프로토콜이다. 콘텐츠 생성, 업데이트 및 삭제를 위한 클라이언트/서버 API와 알림 및 콘텐츠 전달을 위한 연합 서버 간 API를 제공한다.
LDAP 알아보기
https://www.samsungsds.com/kr/insights/ldap.html
