Mastodon 伺服器遭駭侵者透過嚴重 TootRoot 漏洞進行攻擊 @ 台灣電腦網路危機處理暨協調中心-TWCERT/CC

開源且免費的去中心化社群平台 Mastodon 日前緊急發表資安修補更新，修復 4 個資安漏洞；其中包含一個嚴重的資安漏洞 CVE-2023-36460；駭侵者可透過特製的媒體檔案，在伺服器上任意新增檔案。

發現這 4 個資安漏洞的是獨立資安檢測廠商 Cure53，在 Mozilla 的要求之下檢視 Mastodon 的源碼後，發現這四個漏洞。

其中最嚴重的是 CVE-2023-30460 這個漏洞；該漏洞已命名為「TootRoot」，存於 Mastodon 的媒體處理相關程式碼中；駭侵者可透過 toots（相當於 Twitter 上的 Tweet）夾帶特製的媒體檔案，誘發這個錯誤，進而攻陷含有此漏洞的 Mastodon 伺服器，包括對其進行服務阻斷攻擊（Denial of Service, DoS）或是在該伺服器上執行任意程式碼。

駭侵者除了可以完全控制受攻擊的 Mastodon 伺服器外，也能竊取伺服器上的所有資料，包括使用 Mastodon 社群服務的使用者資訊在內。

另一個嚴重漏洞是 CVE-2023-36459，存於 Mastodon 的 oEmbed 預覽卡片中，屬於跨網站指令碼攻擊（Cross-site scripting, XSS）。攻擊者可以利用這個漏洞跳過系統對輸入 HTML 碼的檢查過程，並可以用來竊取其他使用者的帳號、假冒其他使用者，或存取使用者的機敏資訊。

建議 Mastodon 的伺服器管理者，應立即套用更新，升級到 3.5.9、4.0.5 與 4.1.3 或更新版本，以修補這 4 個漏洞，避免遭駭侵者利用已知漏洞進行攻擊。