安全研究员Lenin Alevski警告说,社交媒体平台Mastodon的多个实例容易受到系统配置问题的影响。前Twitter用户因埃隆·马斯克(Elon Musk)接管Twitter所带来的剧变而纷纷离去,这让Mastodon成为了人们关注的焦点。它已成为许多信息安全社区的首选聚会场所,他们已将推特转为平台上的“嘟嘟”。然而,Alevski和他之前的PortSwigger的Gareth Heyes等安全研究人员发现Mastodon缺乏安全成熟度。更具体地说,Alevski最近发现Mastodon的infosec.exchange实例被上传到未能应用访问控制的存储桶。技术博客文章中解释了这一缺点,使攻击者有可能访问用户的个人资料图片或任何其他上传的数据,并将其替换为任意内容。
该漏洞还意味着可以从服务器下载文件——包括通过直接消息共享的文件(Mastodon上的DM,与Twitter不同,它省略了加密)。破坏性攻击,包括删除服务器上的文件,也是可能的。
在Alevski向管理Mastodon的infosec.exchange实例的系统管理员Jerry Bell报告该问题后,安全漏洞为各种恶作剧和拖钓打开了大门。
Bell说:“这是对存储桶的访问策略配置错误。我没有从默认访问路径中删除写访问权限。”
在问题解决后发布的博客文章中,Alevski补充说“对象存储级别的系统配置错误会破坏Mastodon拥有的任何安全机制”。
Alevski最后警告说,infosec.exchange远非Mastodon生态系统中系统配置问题的孤立案例。安全研究人员继续发现其他Mastodon实例上的配置错误。
“我在其中几个[其他实例]中发现了类似的问题,并且我[已经]报告了这些漏洞,”Alevski说。
评论已关闭。