Descubren vulnerabilidad de bajo impacto en Bitcoin Core y Bitcoin Knots

El desarrollador de Bitcoin Core, Luke Dashjr, informó el pasado viernes sobre una vulnerabilidad en el cliente de Bitcoin Core y también en la versión derivada de este, Bitcoin Knots, que hace sensibles los nodos de Bitcoin operados por computadoras de acceso remoto compartido. No obstante, debido a su naturaleza y al funcionamiento de Bitcoin, la vulnerabilidad es de bajo impacto, acota Dashjr.

Un usuario que aproveche este vector de vulnerabilidad puede tener acceso a credenciales de autenticación, y con ellas “realizar sus propias solicitudes, incluidas las llamadas RPC —Remote Procedure Call o llamadas de procedimiento remoto— que pueden comprometer el consenso, enviar los bitcoins de la billetera a otro lugar, etc.”, subrayó Dashjr.

El desarrollador publicó este 8 de febrero el reporte CVE-2018–20587 sobre esta falla, en el cual explica que este vector podría hacer que el nodo colapse, a consecuencia de la utilización remota del equipo en el que se corre este software. “En todos los casos con múltiples usuarios, intentar usar el servicio RPC mientras su nodo no se está ejecutando puede crear un riesgo de seguridad”, se lee en el reporte de Dashjr.

Cabe señalar que siempre que el nodo no se esté ejecutando la vulnerabilidad es aprovechable, señala el reporte, de manera que el usuario debe asegurarse siempre de que el nodo esté corriendo antes de acceder a servicios RPC (Remote Procedure Call), un tipo de programa que utiliza una computadora para ejecutar determinado código en otra máquina remota.

Según dijo el desarrollador, debido a lo poco relevante de la falla, probablemente no se atienda en Bitcoin Core.

En general, no se recomienda confiar en una computadora a la que otros usuarios tienen acceso, por lo que esta vulnerabilidad se considera de bajo riesgo y es posible que no se corrija en Bitcoin Core.

Luke Dashjr

Desarrollador

No obstante, Dashjr creó una nueva versión de su cliente Bitcoin Knots y además, sugirió otra serie de estrategias para mitigar esta potencial falla.

Entre ellas, la más evidente sería eliminar el uso compartido del equipo donde se ejecuta el nodo, bien sea de manera remota o in situ. Además, prohibir que otros usuarios de su computadora se conecten al puerto RPC en cualquier interfaz de red, a fin de mitigar cualquier falla si el nodo no se está ejecutando.

La falla fue reportada originalmente por Bui Thanh, quien es parte de un equipo de investigadores de seguridad de la Universidad de Aalto y la Universidad de Helsinki.

El primer miembro de Bitcoin Core en tener noticias del error fue Matt Corallo. Según explicó a Tanh, “siempre se ha aconsejado a los usuarios que no expongan el servicio RPC a redes / hosts no confiables”.

Este hallazgo contrasta con el error encontrado en septiembre del año pasado. Entonces se reportó un vector de ataque potencialmente catastrófico que permitía realizar ataques de Denegación de Servicio (DDoS) e incluso, modificar la cantidad de bitcoins disponibles en la red. Tras conocerse el error se creó la versión 0.16.3 de Bitcoin Core, que elimina la falla.

Imagen destacada por Nikolay N. Antonov / stock.adobe.com