Les chercheurs en sécurité d'Halborn ont fait une belle découverte. Ses derniers ont détecté de multiples failles dans le code open source des réseaux de blockchain incluant Dogecoin, Litecoin, XRP, Eos, Tron, Monero, Solana, Stellar, Neo... « La vulnérabilité la plus critique découverte est liée aux communications peer-to-peer (p2p), [avec laquelle] les attaquants peuvent créer des messages de consensus et les envoyer à des nœuds individuels et les mettre hors ligne », a prévenu Hallborn. « Un attaquant peut explorer les pairs du réseau à l'aide du message getaddr et attaquer les nœuds non corrigés ». Dans un billet de blog du 13 mars, Halborn a mis en garde contre la vulnérabilité qu'il a surnommée Rab13s - ajoutant avoir travaillé avec ces réseaux pour élaborer un correctif.
La deuxième vulnérabilité des services RPC permettait à un attaquant de planter le nœud via des requêtes RPC. Cependant, une exploitation réussie nécessite des informations d'identification valides, ce qui réduit la probabilité que l'ensemble du réseau soit à risque. Enfin, une dernière rendait possible l'exécution de code dans le contexte de l'utilisateur, avec toutefois pour ce scénario peu de chance de déboucher sur un succès : « la probabilité de cet exploit est plus faible qu'il nécessite des informations d'identification valides pour mener à bien l'attaque », fait savoir Halborn.
Des variantes de failles zero day découvertes
Dans le cadre de leur enquête, les chercheurs en sécurité ont également des variantes de failles zero day en particulier dans les réseaux de blockchains Litecoin et Zcash. « En raison des différences de code source entre les réseaux, toutes les vulnérabilités ne sont pas exploitables sur tous les réseaux, mais au moins l'une d'entre elles peut être exploitable sur chaque réseau », a prévenu Halborn. « Sur les réseaux vulnérables, une exploitation réussie pourrait entraîner un déni de service ou l'exécution de code à distance ».
Cette découverte s'inscrit dans le cadre d'une recherche débutée en mars 2022 portant à l'origine uniquement sur un examen de la sécurité du code source de Dogecoin. Halborn a déclaré qu'il avait été engagé en mars 2022 pour effectuer un examen de sécurité de la base de code de Dogecoin. En poussant leur enquête, les chercheurs ont trouvé que les vulnérabilités décelées affectaient en réalité plus de 280 autres réseaux de blockchains, mettant à risque plus de 25 Md$ de monnaie virtuelle.
Aucun code d'exploit partagé avec d'autres tiers
Halborn a développé un kit d'exploit pour Rab13s comprenant un PoC avec des paramètres configurables pour démontrer les attaques sur différents réseaux. La société explique que toutes les informations techniques nécessaires ont été partagées avec les parties prenantes identifiées pour les aider à corriger les bogues et à publier les correctifs nécessaires pour la communauté et les mineurs de cryptoactifs. Aucun code d'exploit n'a été partagé avec un quelconque tiers souligne Halborn. « Pour les projets utilisant un nœud basé sur UTXO (par exemple, Dogecoin), nous vous recommandons de mettre à niveau tous les nœuds vers la dernière version (1.14.6) », indique notamment la société. Et d'expliquer que compte tenu de la gravité de la situation, aucun autre détail technique et/ou d'exploit ne sera pour le moment publié.