Vulnerabilità altamente critica in Bitcoin Core 24.0.1 e versioni precedenti colpisce il 17% dei nodi completi

Il 20 settembre, gli sviluppatori di Bitcoin Core hanno emesso un nuovo avviso ad alto rischio riguardo a una vulnerabilità del software in uno su sei nodi Bitcoin, ha riportato Protos. Giovedì, il personale del progetto open-source Bitcoin Core, responsabile della manutenzione del software che gira su oltre il 98 percento dei nodi completi raggiungibili, ha rivelato che il software in esecuzione sul 17 percento dei nodi della rete presenta significativi problemi di sicurezza. In particolare, tutto il software al di sotto della versione 24.0.1 di Bitcoin Core è a rischio. Secondo le stime di monitoraggio di Bitnodes, la vulnerabilità di denial-of-service colpisce circa 3.330 dei 19.200 agenti utente auto-proclamati dei nodi Bitcoin Completi accessibili.

Nel software Bitcoin Core precedente alla versione 24.0.1, attori malintenzionati potevano utilizzare catene di intestazioni a bassa difficoltà per spammare i nodi. Forzando i nodi a scaricare e memorizzare catene di intestazioni estremamente lunghe, l'attacco poteva far crashare il nodo occupando troppa larghezza di banda o spazio di archiviazione del dispositivo. Gli sviluppatori hanno risolto questa vulnerabilità nella richiesta di pull (PR) numero 25717 di Bitcoin Core e l'hanno integrata in produzione il 12 dicembre 2022 con il rilascio della versione v24.0.1. La versione attuale del software del nodo Bitcoin Core (ora 27.1) include correzioni per questa e altre vulnerabilità.

Sebbene questa vulnerabilità sia piuttosto seria, ci sono pochissimi casi noti di attacchi nel registro pubblico che sfruttano questa vulnerabilità. Poiché il costo di generare e trasmettere una catena di intestazioni di blocco per eseguire un attacco di denial-of-service è piuttosto elevato, questa vulnerabilità è di scarso interesse finanziario per gli attaccanti.