Mastodon a crescut în popularitate în ultimele săptămâni, deoarece mulți utilizatori s-au mutat pe platforma de socializare ca să scape de Twitter, care a fost achiziționat recent de omul de afaceri Elon Musk.

Toată lumea de pe infosesc Twitter părea să se îndrepte spre serverul infosec.exchange Mastodon, așa că am decis să văd despre ce este vorba.

a scris Gareth Heyes, de la PortSwigger Research, într-o postare pe blog

Acest lucru i-a permis lui Gareth Heyes să ocolească cu succes filtrul HTML, datorită înlocuirii caracterului locator verificat cu o imagine care conținea ghilimele duble.

Filtrul a fost complet distrus deoarece am putut doar să injectez HTML arbitrar, dar un ultim lucru mi-a stat în cale: au folosit o politiciă de securitate a conținutului (Content Security Policy – CSP) relativ strictă.

Aproape fiecare resursă era limitată la infosec.exchange, cu excepția iframe-urilor care permiteau orice URL HTTPS.

a scris Gareth Heyes

Falsificarea Mastodon

Gareth Heyes și-a dat seama apoi că poate injecta elemente de formular, permițându-i să falsifice un formular de parolă care, atunci când este combinat cu completarea automată a Chrome, ar permite unui atacator să aibă acces la datele de identificare.

Mai rău, cercetătorul a reușit să falsifice bara de instrumente de mai jos. În cazul în care un utilizator făcea clic pe orice element al barei de instrumente falsificate, acesta trimitea acreditările sale către server al atacatorului.

Gareth Heyes a testat Chrome pentru a vedea dacă va continua să completeze automat datele de identificare atunci când intrările sunt invizibile. Dacă un atacator folosea o valoare a opacității de zero, Chrome continua să completeze în mod convenabil datele de identificare.

Datorită CSP-ului, Gareth Heyes nu a putut folosi stiluri inline. Cu toate acestea, uitându-se la fișierele CSS, a găsit o clasă care avea opacity:0în câteva secunde”, care „a funcționat perfect”.

El a explicat pentru The Daily Swig:

Adăugați codul PoC în zona de text a postării și apăsați butonul de publicare – (utilizatorul) vede (postarea) și face clic pe ceea ce crede că este o bară de instrumente Mastodon. Datele de identificare sunt (apoi) trimise către un server extern.

Într-un atac real, credențialele vor fi stocate, iar utilizatorul va fi redirecționat înapoi pe site.

Măsuri de atenuare

Orice instanță Mastodon care folosește fork-ul Gitch a Mastodon este vulnerabilă, a explicat Gareth Heyes, adăugând că, din moment ce serverul este vulnerabil „un utilizator nu poate face prea multe pentru a se proteja”.

El a adăugat: „Cu toate acestea, ar fi o idee bună să vă completați automat parola doar cu interacțiunea utilizatorului pentru a preveni furtul acreditărilor”.

Gareth Heyes a raportat problema direct la Glitch. Colaboratori au lansat un petic pentru această problemă, care este disponibil în depozitul Glitch.

Lasă un răspuns