-
Debido al funcionamiento de Bitcoin, la falla ha sido considerada de bajo impacto.
-
El investigador Bui Thanh fue el primero en reportar este error.
El desarrollador de Bitcoin Core, Luke Dashjr, informรณ el pasado viernes sobre una vulnerabilidad en el cliente de Bitcoin Core y tambiรฉn en la versiรณn derivada de este, Bitcoin Knots, que hace sensibles los nodos de Bitcoin operados por computadoras de acceso remoto compartido. No obstante, debido a su naturaleza y al funcionamiento de Bitcoin, la vulnerabilidad es de bajo impacto, acota Dashjr.
Un usuario que aproveche este vector de vulnerabilidad puede tener acceso a credenciales de autenticaciรณn, y con ellas โrealizar sus propias solicitudes, incluidas las llamadas RPC โRemote Procedure Call o llamadas de procedimiento remotoโ que pueden comprometer el consenso, enviar los bitcoins de la billetera a otro lugar, etc.โ, subrayรณ Dashjr.
El desarrollador publicรณ este 8 de febrero el reporte CVE-2018โ20587 sobre esta falla, en el cual explica que este vector podrรญa hacer que el nodo colapse, a consecuencia de la utilizaciรณn remota del equipo en el que se corre este software. โEn todos los casos con mรบltiples usuarios, intentar usar el servicio RPC mientras su nodo no se estรก ejecutando puede crear un riesgo de seguridadโ, se lee en el reporte de Dashjr.
Cabe seรฑalar que siempre que el nodo no se estรฉ ejecutando la vulnerabilidad es aprovechable, seรฑala el reporte, de manera que el usuario debe asegurarse siempre de que el nodo estรฉ corriendo antes de acceder a servicios RPC (Remote Procedure Call), un tipo de programa que utiliza una computadora para ejecutar determinado cรณdigo en otra mรกquina remota.
Segรบn dijo el desarrollador, debido a lo poco relevante de la falla, probablemente no se atienda en Bitcoin Core.
En general, no se recomienda confiar en una computadora a la que otros usuarios tienen acceso, por lo que esta vulnerabilidad se considera de bajo riesgo y es posible que no se corrija en Bitcoin Core.
Luke Dashjr
Desarrollador
No obstante, Dashjr creรณ una nueva versiรณn de su cliente Bitcoin Knots y ademรกs, sugiriรณ otra serie de estrategias para mitigar esta potencial falla.
Entre ellas, la mรกs evidente serรญa eliminar el uso compartido del equipo donde se ejecuta el nodo, bien sea de manera remota o in situ. Ademรกs, prohibir que otros usuarios de su computadora se conecten al puerto RPC en cualquier interfaz de red, a fin de mitigar cualquier falla si el nodo no se estรก ejecutando.
La falla fue reportada originalmente por Bui Thanh, quien es parte de un equipo de investigadores de seguridad de la Universidad de Aalto y la Universidad de Helsinki.
El primer miembro de Bitcoin Core en tener noticias del error fue Matt Corallo. Segรบn explicรณ a Tanh, โsiempre se ha aconsejado a los usuarios que no expongan el servicio RPC a redes / hosts no confiablesโ.
Este hallazgo contrasta con el error encontrado en septiembre del aรฑo pasado. Entonces se reportรณ un vector de ataque potencialmente catastrรณfico que permitรญa realizar ataques de Denegaciรณn de Servicio (DDoS) e incluso, modificar la cantidad de bitcoins disponibles en la red. Tras conocerse el error se creรณ la versiรณn 0.16.3 de Bitcoin Core, que elimina la falla.
Imagen destacada por Nikolay N. Antonov / stock.adobe.com
