BTCPay informa sobre vulnerabilidad potencial que podía dar acceso a su servidor

Un investigador de Doyensec, una compañía de investigación y desarrollo de seguridad, reveló al equipo del procesador de pagos descentralizado para bitcoin BTCPay el descubrimiento de una vulnerabilidad potencial en su servidor. La misma podía haber ocasionado que un comerciante malicioso accediera a la plataforma y filtrara una página infectada.

En una información publicada en su blog corporativo este 15 de agosto, el equipo de BTCPay explica las características de la vulnerabilidad detectada el pasado 7 de agosto por Kevin Joensen. Agrega que la misma fue subsanada al día siguiente, mediante el desarrollo de una nueva versión del servidor. En consecuencia, recomienda a los usuarios actualizar a la versión 1.0.3.127.

El equipo de BTCPay resalta la importancia de que los usuarios realicen la actualización lo más pronto posible, aunque hasta ahora no hay evidencia de que la vulnerabilidad haya sido explotada en la práctica. 

Sin embargo, es posible que algunos usuarios se vean de alguna forma afectados, principalmente los anfitriones o administradores. Estos son clientes que permiten el registro para otros usuarios, quienes podrían estar “alojando su servidor a un actor desconocido y potencialmente malicioso”. En ese sentido, no hay riegos para las instancias regulares alojadas automáticamente, cuyos usuarios no permiten el registro de actores desconocidos.

Al respecto, se explican las diferencias entre los tres tipos de usuarios del servidor de BTCPay: anfitrión (administrador), comerciante (usuarios) y clientes (usuarios que pagan a un comerciante). 

Si usted mismo aloja el servidor BTCPay, entonces usted es al mismo tiempo un anfitrión y un comerciante. Si usted es un proveedor de host externo, el host y el comerciante no son el mismo usuario, ya que permite que otros usuarios se registren y usen su instancia.

BTCPay.

La información reitera que la vulnerabilidad solo afecta a los hosts de terceros, que tienen habilitado el registro de usuarios no confiables. Por tal razón, el registro para otros usuarios se deshabilitó de forma predeterminada durante la implementación de BTCPay Server.

Las posibilidades de ataque

En relación la vulnerabilidad detectada, el equipo expone que entre los problemas presentes en el servidor se hallaron fallas en las secuencias de comandos entre sitios (XSS). Estas habrían permitido a los atacantes inyectar scripts del lado del cliente en páginas web vistas por otros usuarios. 

De esta forma, algún pirata informático pudo haber creado una página que filtraría la clave SSH o Secure Shell. Se trata de un protocolo de administración que permite a los usuarios controlar y modificar sus servidores remotos a través de Internet. Así, la vulnerabilidad podía ser aprovechada por un comerciante malicioso, afectando el host de terceros y a sus usuarios.

Si un tercero malintencionado se dirige a un host de terceros y el host hace clic en el enlace malicioso, el host podría revelar la clave SSH de su servidor, lo que permite que un tercero malintencionado lo controle. Esto podría usarse de manera progresiva y obtener el control del servidor y robar los fondos de Lightning Network.

BTCPay.

Con la actualización se buscó corregir este problema, impidiendo que la clave SSH se pueda recuperar con una solicitud ajax (comunicación asincrónica con el servidor principal).

Añade la nota informativa que con la actualización también se  incorporan nuevas funciones al servidor, a fin de mejorar la experiencia del usuario. Entre ellas mencionan el lanzamiento de etiquetas y comentarios de cartera. Esta función ofrece la opción de etiquetado, al tiempo de permitir agregar comentarios personalizados a cada transacción que se ejecute con la cartera.

BTCPay surgió en 2017 como una alternativa descentralizada a BitPay, la plataforma más popular para el procesamiento de pagos con bitcoins. Según sus directivos, a finales de 2018  contaba con más de 1600 compromisos en Github y soporte para diez altcoins; además de la adición de varias soluciones para comercio electrónico. En marzo del año pasado se integró con Lightning Network.