Agencias, Ciudad de México.- Mastodon ha anunciado que ha puesto solución recientemente a una falla de seguridad que permitía a los ciberdelincuentes hacerse pasar por otros usuarios de la plataforma suplantando su identidad y apoderarse de sus cuentas.
Nacida en 2016, Mastodon es una plataforma de ‘microblogging’ de código abierto, descentralizada y basada en el protocolo ActivityPub y servidores independientes, que nació para que cada uno de ellos contara con sus propios administradores y normas de la comunidad.
La plataforma ha registrado recientemente una brecha de seguridad, identificada como CVE-2024-23832 por la base de datos nacional de vulnerabilidades estadounidense (NVD), que permite a los atacantes “hacerse pasar por cualquier cuenta remota y apoderarse de ella”, según ha compartido la institución en su pagina web.
El fundador y director ejecutivo de Mastodon, Eugen Rochko, ha confirmado a través de GitHub que todas las versiones de Mastodon anteriores a la 3.5.17 son vulnerables, así como las versiones 4.0.x anteriores a la 4.0.13, la versión 4.1.x anteriores a la 4.1.13 y las versiones 4.2.x anteriores a la 4.2.5.
Mastodon vulnerability allows attackers to take over accounts – @billtoulashttps://t.co/13cwFGjkjIhttps://t.co/13cwFGjkjI
— BleepingComputer (@BleepinComputer) February 3, 2024
Debido a que la plataforma ha solucionado este problema, es recomendable que los usuarios de la plataforma la actualicen con la versión 4.2.5 e iteraciones posteriores para protegerse de este riesgo de seguridad.
Por su parte, Mastodon ha ocultado detalles técnicos relacionados con este incidente para evitar la explotación activa de la vulnerabilidad, aunque espera hacer más comentarios sobre lo sucedido a partir del día 15 de febrero, “cuando los administradores tengan algo de tiempo para actualizar” sus correspondientes versiones de la plataforma.
Desde Bleeping Computer han apuntado, por su parte, que Mastodon ha optado por alertar a los usuarios de su comunidad de la necesidad de actualizar versiones vulnerables a través de un ‘banner’ situado en la pantalla de inicio de la plataforma.
Este medio también ha recordado que en julio del año pasado, el equipo de seguridad de la plataforma solucionó otro error crítico identificado como CVE-2023-36460 y denominado ‘TootRoot’, que permitía a los atacantes enviar ‘toots’ (las publicaciones en Mastodon, el equivalente a los tuits de X), capaces de distribuir ‘webshells’ en las instancias objetivo de ataque.
Los ciberdelincuentes podían aprovechar esta falla para comprometer los servidores de Mastodon, lo que les permitía acceder a información confidencial de los usuarios, comunicaciones y puertas traseras o ‘backdoors’.
Latest Critical Vulnerabilities in Juniper Secure Analytics and Mastodon: CVE-2023-37920, CVE-2021-4048, CVE-2024-23832 https://t.co/OWINTqFMi8
— Nacho García Egea (@nachogarciaegea) February 5, 2024