توسعهدهندگان Bitmessage از یک آسیبپذیری روز صفرم قابل اجراء از راه دور موجود در برنامهی PyBitmessage که در دنیای واقعی نیز مورد بهرهبرداری قرار گرفته است، هشدار دادند.
Bitmessage یک پروتکل ارتباطات نظیر به نظیر (P۲P) است که برای ارسال پیامهای رمزنگاری شده به کاربران استفاده میشود. از آنجاییکه ارتباطات آن غیرمتمرکز و غیرقابل اعتماد است، ذاتا به مسئولیت هیچ بخشی مانند مجوز گواهینامهی اصلی نیاز ندارد.
برای کسانی که بیاطلاع هستند، PyBitmessage مشتری رسمی سرویس پیامرسانی Bitmessage است.
به گفتهی توسعهدهندگان Bitmessage، یک آسیبپذیری روز صفرم اجرای کد از راه دور که بهعنوان یک نقص رمزنگاری پیام توصیف شده است، نسخهی ۰.۶.۲ PyBitmessage برای لینوکس، مک و ویندوز را تحت تاثیر قرار داده و برخی از کاربران آنها را مورد بهرهبرداری قرار داده است.
پیتر شوردا، توسعهدهندهی اصلی Bitmessage توضیح داد: «این بهرهبرداری توسط یک پیام مخرب راهاندازی میشود. مهاجم بهمحض باز کردن یا تلاش برای باز کردن یک پوستهی معکوس راه دور حمله، یک اسکریپت خودکار را اجراء میکند.»
«این اسکریپت خودکار ظاهرا ~/.electrum/wallets [Electrum wallets] است، اما هنگام استفاده از پوستهی معکوس، مهاجم به پروندههای دیگر نیز دسترسی خواهد داشت. اگر مهاجم بیتکوینهای شما را منتقل کرده است، لطفا با ما تماس بگیرید.»
علاوه بر این، نفوذگرها شوردا را نیز را مورد هدف قرار دادند. از آنجاییکه آدرسهای Bitmessage او احتمالا در معرض خطر قرار گرفتهاند، او به کاربران پیشنهاد کرد که با این آدرس با وی در تماس نباشند.
شوردا توئیت کرد: «آدرسهای قدیمی Bitmessage من به احتمال زیاد مورد بهرهبرداری قرار گرفته و دیگر استفاده نمیشوند.»
شوردا معتقد است که مهاجمان از این آسیبپذیری برای دستیابی به دسترسی از راه دور بهره گرفته و عمدتا بهدنبال کلیدهای خصوصی کیف پول الکتروم بیتکوین که بر روی دستگاه آسیبدیده ذخیره میشوند، هستند. آنها با استفاده از این کلیدها میتوانند / ممکن است بیتکوینها را به سرقت ببرند.
توسعهدهندگان Bitmessage با انتشار نسخهی جدید ۰.۶.۳.۲ از PyBitmessage، این آسیبپذیری را رفع کردهاند.
بنابراین، اگر شما یک نسخهی آسیبدیده از PyBitmessage را اجراء میکنید، بهشدت توصیه میشود که نرمافزار خود را به نسخهی ۰.۶.۳.۲ ارتقاء دهید.
از آنجاییکه این آسیبپذیری نسخهی ۰.۶.۲ از PyBitmessage را تحت تاثیر قرار داده و نسخهی ۰.۶.۱ را هدف قرار نمیدهد، به پیشنهاد شوردا و بهمنظور در امان ماندن از حملات احتمالی روز صفرم، شما میتوانید برنامهی خود را تنزل دهید.
گرچه توسعهدهندگان جزئیات بیشتری را در مورد این آسیبپذیری بحرانی اعلام نمیکنند، شوردا به کاربران توصیه کرد در صورت مشکوک بودن به در معرض خطر قرار داشتن رایانههای خود، تمام گذرواژههای خود را تغییر داده و کلیدهای Bitmessage جدیدی را ایجاد کنند.
انتظار میرود که پروندههای دودویی برای ویندوز و OSX، روز چهارشنبه در دسترس قرار گیرند.
تحقیق در مورد این حملات همچنان در حال انجام است.
منبع: https://news.asis.io