Vulnerabilidad JSONRPC en Electrum 2.6 a 3.0.4
El 6 de enero, se divulgó una vulnerabilidad en el software Electrum wallet, que permite a los sitios web maliciosos ejecutar comandos de billetera a través de JSONRPC ejecutados en un navegador web. El error afecta a las versiones 2.6 a 3.0.4 de Electrum, en todas las plataformas. También afecta clones de Electrum como Electron Cash.
¿Pueden los fondos ser robados?[/paste:font]
Las carteras que no están protegidas con contraseña corren el riesgo de robo, si se abren con una versión de Electrum anterior a la 3.0.5 mientras el navegador web está activo.
Además, la vulnerabilidad permite que un atacante modifique la configuración del usuario, la lista de contactos en una billetera y los campos "payto" e "importe" de la interfaz de usuario mientras se está ejecutando Electrum.
Aunque no se conoce la existencia del robo de Bitcoin debido a esta vulnerabilidad, el riesgo aumenta sustancialmente ahora que la vulnerabilidad se ha hecho pública.
¿Se pueden filtrar los datos de la billetera?[/paste:font]
Sí, un atacante puede obtener datos privados, como: direcciones de Bitcoin, etiquetas de transacción, etiquetas de dirección, contactos de cartera y claves públicas maestras.
¿Se puede fortalecer una billetera protegida con contraseña?[/paste:font]
No es realista La vulnerabilidad no permite que un atacante tenga acceso a claves cifradas o privadas, que serían necesarias para realizar un ataque de fuerza bruta eficiente. Sin la semilla cifrada, un atacante debe probar las contraseñas usando la interfaz JSONRPC, mientras el usuario visita una página maliciosa. Esto es varios órdenes de magnitud más lento que un ataque con la semilla encriptada, y restringido en el tiempo. Incluso una contraseña débil protegerá contra eso.
¿Qué deberían hacer los usuarios?[/paste:font]
Todos los usuarios deberían actualizar su software Electrum y dejar de usar versiones antiguas.
Los usuarios que no protegieron su billetera con una contraseña deberían crear una billetera nueva y mover sus fondos a esa billetera. Incluso si nunca recibió fondos, no se debería usar una billetera sin contraseña, porque su semilla podría haberse visto comprometida.
Además, los usuarios deberían revisar su configuración y eliminar todos los contactos de su lista de contactos, ya que las direcciones Bitcoin de sus contactos podrían haber sido modificadas.
Cómo actualizar Electrum[/paste:font]
Deje de ejecutar cualquier versión de Electrum anterior a 3.0.5, e instale Electrum la versión más reciente. En el escritorio, asegúrese de descargar Electrum de https://electrum.org y de ningún otro sitio web. En Android, la versión más reciente está disponible en Google Play.
Si Electrum 3.0.5 (o cualquier versión posterior) no puede instalarse o no funciona en su computadora, deje de usar Electrum en esa computadora y acceda a sus fondos desde un dispositivo que pueda ejecutar Electrum 3.0.5. Si realmente necesita usar una versión anterior de Electrum, por ejemplo para acceder a la semilla de monedero, asegúrese de que su computadora esté fuera de línea y de que no haya ningún navegador web ejecutándose en la computadora al mismo tiempo.
¿Deberían todos los usuarios mover sus fondos a una nueva dirección?[/paste:font]
No recomendamos mover fondos de carteras protegidas con contraseña. Para billeteras que no estaban protegidas con contraseña, mover fondos es una precaución extrema, que podría no ser necesaria; de hecho, si se comprometió una billetera, es muy probable que el atacante haya robado los fondos inmediatamente.
¿Cuándo se informó y solucionó el problema?[/paste:font]
La ausencia de protección con contraseña en la interfaz JSONRPC fue reportada el 25 de noviembre de 2017 por el usuario jsmad: https://github.com/spesmilo/electrum/issues/3374
El informe de jsmad trataba sobre Electrum daemon, una pieza de software que se ejecuta en servidores web y que utilizan los comerciantes para recibir pagos de Bitcoin. En ese contexto, las conexiones con el daemon del mundo exterior deben autorizarse explícitamente, configurando 'rpchost' y 'rpcport' en la configuración de Electrum.
El 6 de enero de 2018, Tavis Ormandy demostró que la interfaz JSONRPC podría explotarse contra Electrum GUI, y que el ataque podría ser llevado a cabo por un navegador web que se ejecuta localmente, visitando una página web con JavaScript especialmente diseñado.
Lanzamos una nueva versión (3.0.4) en las horas posteriores a la publicación de Tavis, con un parche escrito por mithrandi (empaquetador de Debian), que abordaba el ataque demostrado por Tavis. Además, el problema de Github permaneció abierto, porque el parche de mithrandi no agregaba protección con contraseña a la interfaz JSONRPC.
Poco después del lanzamiento de la versión 3.0.4 empezamos a trabajar para agregar una protección de contraseña adecuada a la interfaz JSONRPC del daemon, y esa parte estuvo lista el domingo 7 de enero. También aprendimos el domingo por la tarde que el primer parche no fue efectivo contra otro ataque similar, usando POST. Es por eso que no demoramos la versión 3.0.5, que incluye protección con contraseña, y desactiva por completo JSONRPC en la GUI.
EDITO: traduccion de google-----------------------fuente: GitHub.com
El 6 de enero, se divulgó una vulnerabilidad en el software Electrum wallet, que permite a los sitios web maliciosos ejecutar comandos de billetera a través de JSONRPC ejecutados en un navegador web. El error afecta a las versiones 2.6 a 3.0.4 de Electrum, en todas las plataformas. También afecta clones de Electrum como Electron Cash.
¿Pueden los fondos ser robados?[/paste:font]
Las carteras que no están protegidas con contraseña corren el riesgo de robo, si se abren con una versión de Electrum anterior a la 3.0.5 mientras el navegador web está activo.
Además, la vulnerabilidad permite que un atacante modifique la configuración del usuario, la lista de contactos en una billetera y los campos "payto" e "importe" de la interfaz de usuario mientras se está ejecutando Electrum.
Aunque no se conoce la existencia del robo de Bitcoin debido a esta vulnerabilidad, el riesgo aumenta sustancialmente ahora que la vulnerabilidad se ha hecho pública.
¿Se pueden filtrar los datos de la billetera?[/paste:font]
Sí, un atacante puede obtener datos privados, como: direcciones de Bitcoin, etiquetas de transacción, etiquetas de dirección, contactos de cartera y claves públicas maestras.
¿Se puede fortalecer una billetera protegida con contraseña?[/paste:font]
No es realista La vulnerabilidad no permite que un atacante tenga acceso a claves cifradas o privadas, que serían necesarias para realizar un ataque de fuerza bruta eficiente. Sin la semilla cifrada, un atacante debe probar las contraseñas usando la interfaz JSONRPC, mientras el usuario visita una página maliciosa. Esto es varios órdenes de magnitud más lento que un ataque con la semilla encriptada, y restringido en el tiempo. Incluso una contraseña débil protegerá contra eso.
¿Qué deberían hacer los usuarios?[/paste:font]
Todos los usuarios deberían actualizar su software Electrum y dejar de usar versiones antiguas.
Los usuarios que no protegieron su billetera con una contraseña deberían crear una billetera nueva y mover sus fondos a esa billetera. Incluso si nunca recibió fondos, no se debería usar una billetera sin contraseña, porque su semilla podría haberse visto comprometida.
Además, los usuarios deberían revisar su configuración y eliminar todos los contactos de su lista de contactos, ya que las direcciones Bitcoin de sus contactos podrían haber sido modificadas.
Cómo actualizar Electrum[/paste:font]
Deje de ejecutar cualquier versión de Electrum anterior a 3.0.5, e instale Electrum la versión más reciente. En el escritorio, asegúrese de descargar Electrum de https://electrum.org y de ningún otro sitio web. En Android, la versión más reciente está disponible en Google Play.
Si Electrum 3.0.5 (o cualquier versión posterior) no puede instalarse o no funciona en su computadora, deje de usar Electrum en esa computadora y acceda a sus fondos desde un dispositivo que pueda ejecutar Electrum 3.0.5. Si realmente necesita usar una versión anterior de Electrum, por ejemplo para acceder a la semilla de monedero, asegúrese de que su computadora esté fuera de línea y de que no haya ningún navegador web ejecutándose en la computadora al mismo tiempo.
¿Deberían todos los usuarios mover sus fondos a una nueva dirección?[/paste:font]
No recomendamos mover fondos de carteras protegidas con contraseña. Para billeteras que no estaban protegidas con contraseña, mover fondos es una precaución extrema, que podría no ser necesaria; de hecho, si se comprometió una billetera, es muy probable que el atacante haya robado los fondos inmediatamente.
¿Cuándo se informó y solucionó el problema?[/paste:font]
La ausencia de protección con contraseña en la interfaz JSONRPC fue reportada el 25 de noviembre de 2017 por el usuario jsmad: https://github.com/spesmilo/electrum/issues/3374
El informe de jsmad trataba sobre Electrum daemon, una pieza de software que se ejecuta en servidores web y que utilizan los comerciantes para recibir pagos de Bitcoin. En ese contexto, las conexiones con el daemon del mundo exterior deben autorizarse explícitamente, configurando 'rpchost' y 'rpcport' en la configuración de Electrum.
El 6 de enero de 2018, Tavis Ormandy demostró que la interfaz JSONRPC podría explotarse contra Electrum GUI, y que el ataque podría ser llevado a cabo por un navegador web que se ejecuta localmente, visitando una página web con JavaScript especialmente diseñado.
Lanzamos una nueva versión (3.0.4) en las horas posteriores a la publicación de Tavis, con un parche escrito por mithrandi (empaquetador de Debian), que abordaba el ataque demostrado por Tavis. Además, el problema de Github permaneció abierto, porque el parche de mithrandi no agregaba protección con contraseña a la interfaz JSONRPC.
Poco después del lanzamiento de la versión 3.0.4 empezamos a trabajar para agregar una protección de contraseña adecuada a la interfaz JSONRPC del daemon, y esa parte estuvo lista el domingo 7 de enero. También aprendimos el domingo por la tarde que el primer parche no fue efectivo contra otro ataque similar, usando POST. Es por eso que no demoramos la versión 3.0.5, que incluye protección con contraseña, y desactiva por completo JSONRPC en la GUI.
EDITO: traduccion de google-----------------------fuente: GitHub.com
