Menü
Security

Offener RPC-Port: 20 Millionen Dollar aus Ethereum-Apps geklaut

Viele Ethereum-Systeme sind fehlerhaft konfiguriert und machen es trivial einfach, das angehäufte Krypto-Geld zu entwenden.

Von
vorlesen Drucken Kommentare lesen 23 Beiträge
Offener RPC-Port: 20 Millionen Dollar aus Ethereum-Apps geklaut

(Bild: Pablo Wilson / Shutterstock.com)

Ethereum-Client-Programme und Mining-Systeme nehmen Befehle über eine RPC-Schnittstelle auf Port 8545 entgegen. Dass diese Remote Procedure Calls (RPC) bei vielen Ethereum-Programmen eine Sicherheitslücke darstellen, ist seit Jahren bekannt. Die Ethereum-Entwickler selbst hatten davor bereits im Jahr 2015 gewarnt. Trotzdem scheint das viele Anwender der Software kaum zu stören. Wie die Sicherheitsfirma 360 Netlab berichtet, hat alleine eine Gruppe von Angreifern bisher mehr als 20 Millionen US-Dollar in Ethereum über den simplen Angriff abgeräumt.

Über die RPC-Schnittstelle kann der Anwender auf eine App zugreifen, Informationen auslesen und Befehle absetzen. Das ist dazu gedacht, um etwa das Wallet eines Mining-Systems aus der Ferne auszulesen oder Beträge von dort auf andere Konten zu überweisen. Man kann die Schnittstelle also dazu nutzen, um die geschürfte Krypto-Währung auf ein Konto seiner Wahl zu überweisen. Aus diesem Grund ist das RPC-Interface standardmäßig in den meisten Apps abgeschaltet. Schaltet man es an, warnen die Programme in der Regel vor den negativen Folgen und empfehlen, die Schnittstelle über ein Anmelde-System oder eine Firewall abzusichern.

Teure Konfigurationsfehler

Es scheint allerdings eine Menge Anwender zu geben, die das nicht kümmert. Aus welchem Grund auch immer finden sich im Netz genügend Systeme, bei denen man auf Port 8545 auf entsprechende Schnittstellen zugreifen kann. Vielleicht, weil der Administrator an der Konfiguration einer App herumgespielt hat oder weil er eine eigene Funktion mittels RPC fehlerhaft implementiert hat. Vielen fällt zwar der Verlust des erschürften Ethereums auf, oft finden sie aber erst später – in vielen Fällen vielleicht sogar nie – heraus, dass die RPC-Funktion der Übeltäter war.

Sicherheitsforscher beobachten seit Jahren, dass diverse Angreifer diese Schwachstellen ausnutzen. Einen vorläufigen Höhepunkt erreichten die Angriffe Ende 2017. Der aktuelle Bericht von 360 Netlab macht deutlich, dass die Gefahr allerdings noch lange nicht gebannt ist.

Ethereum-Programme sind nicht die einzige Software, die unter RPC-Lücken leidet. Auch Content Management Systeme wie WordPress und Drupal sind berüchtigt dafür, immer wieder attackiert zu werden, weil Admins ähnliche Funktionen aktivieren, ohne sie richtig zu verstehen. Oft wird auch dort erst spät der Schuldige gefunden, weil niemand die vor Ewigkeiten aktivierte Hintergrundfunktion auf dem Schirm hatte. Und erst Anfang des Jahres machte eine RPC-Lücke im Downloader der Spielefirma Blizzard 500 Millionen Spieler angreifbar. (fab)