“去中心化版Twitter”Mastodon曝出嚴(yán)重漏洞
責(zé)編:gltian |2022-11-25 13:14:53本周三晚間,安全研究員Lenin Alevski警告說社交媒體平臺(tái)Mastodon的多個(gè)實(shí)例容易受到系統(tǒng)配置問題的影響。
過去一個(gè)月,大量Twitter用戶因特斯拉創(chuàng)始人埃隆·馬斯克接管Twitter所帶來的劇變而紛紛“叛逃”到“去中心化版Twitter”——Mastodon。
然而,Alevski和Gareth Heyes等安全研究人員發(fā)現(xiàn)Mastodon安全成熟度很差。
例如,Alevski發(fā)現(xiàn)Mastodon的一個(gè)實(shí)例——infosec.exchange被上傳到未能應(yīng)用訪問控制的存儲(chǔ)桶。
Alevski在一篇技術(shù)博客文章(鏈接在文末)透露該漏洞使攻擊者有可能訪問用戶的個(gè)人資料圖片或任何其他上傳的數(shù)據(jù),并將其替換為任意內(nèi)容。
該漏洞還意味著攻擊者可以從服務(wù)器下載文件——包括通過直接消息(DM)共享的文件(Mastodon上的DM與Twitter不同,省略了加密)。攻擊者還有可能實(shí)施包括刪除服務(wù)器文件的破壞性攻擊。總之,這個(gè)安全漏洞為各種惡作劇和惡意行為敞開了大門。
Alevski向管理Mastodon的infosec.exchange實(shí)例的系統(tǒng)管理員Jerry Bell報(bào)告了該漏洞后立即得到響應(yīng)。
Bell表示:“該漏洞是存儲(chǔ)桶訪問策略配置錯(cuò)誤,我沒有從默認(rèn)訪問路徑中刪除寫訪問權(quán)限。”
在問題解決后發(fā)布的博客文章中,Alevski補(bǔ)充說:“對(duì)象存儲(chǔ)級(jí)別的系統(tǒng)配置錯(cuò)誤會(huì)破壞Mastodon的所有安全機(jī)制”。
Alevski最后警告說:infosec.exchange絕不是Mastodon生態(tài)系統(tǒng)中系統(tǒng)配置漏洞的個(gè)案。安全研究人員仍在不斷發(fā)現(xiàn)其他Mastodon實(shí)例上的配置錯(cuò)誤。
“我在其中幾個(gè)(其他實(shí)例)中發(fā)現(xiàn)了類似的問題,并且已經(jīng)報(bào)告了這些漏洞。”Alevski說道。
參考鏈接:
https://www.alevsk.com/2022/11/system-misconfiguration-is-the-number-one-vulnerability-at-least-for-mastodon/
來源:GoUpSec
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧