Mastodon-servers door middel van kritiek "TootRoot" lek over te nemen
Een kritieke kwetsbaarheid met de naam "TootRoot" maakt het mogelijk voor aanvallers om Mastodon-servers over te nemen en vervolgens aanvallen tegen gebruikers van het platform uit te voeren. De impact van het beveiligingslek, aangeduid als CVE-2023-36460, is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. Mastodon heeft een update uitgebracht om het probleem te verhelpen.
"Door middel van speciaal geprepareerde mediabestanden kan een aanvaller de code waarmee Mastodon media verwerkt willekeurige bestanden op elke locatie laten aanmaken. Hierdoor kunnen aanvallers elk bestand waar Mastodon toegang toe heeft overschrijven of creëren, wat kan leiden tot denial of service en het remote uitvoeren van willekeurige code", aldus de beschrijving van het probleem. Mastodon heeft vooralsnog geen verdere details gegeven.
Beveiligingsonderzoeker Kevin Beaumont stelt op Mastodon dat een aanvaller via het lek een statusbericht kan versturen waardoor het mogelijk is voor een aanvaller om een webshell op de Mastodon-server te installeren. Daarmee is het mogelijk om toegang tot de server te behouden en verdere aanvallen uit te voeren. Zo zou het mogelijk zijn om malafide berichten naar gebruikers te sturen dat ze bijvoorbeeld een "update" zouden moeten installeren. Er zouden volgens The Federation meer dan 24.000 Mastodon-servers op internet zijn.
Nu maar wachten totdat iedere beheerder die dat, ik ga dit wel zelf decentraal hosten, zijn updates heeft gedraaid.
Nu maar wachten totdat iedere beheerder die dat, ik ga dit wel zelf decentraal hosten, zijn updates heeft gedraaid.
Open source software va. proprietary software is bijna zoals "good vs. evil".
Open source software va. proprietary software is bijna zoals "good vs. evil".
Super mooi ja.
Maar goed, competentie verwachten is wel erg veel gevraagd natuurlijk.
Nu maar wachten totdat iedere beheerder die dat, ik ga dit wel zelf decentraal hosten, zijn updates heeft gedraaid.
Afgezien van social media servers van commerciele clubs als facebook/meta, twitter et all is er genoeg commerciele software die zelfs regelmatig geupdate moet worden. Het is dus geen kwestie van "opensource" maar kwestie van degelijkheid van software ontwikkeling voooordat deze live gaat cq verkocht wordt.
En ook bij microsoft, novell in het verleden, oracle et all duurt het in de regel wel even eer zeer kritieke updates overal zijn gedaan.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!