最近,比特幣挖礦設(shè)備中一個名為Antbleed的后門漏洞被披露出來,它可使比特幣礦工遠(yuǎn)程關(guān)閉。那么,它是如何工作的?企業(yè)網(wǎng)絡(luò)會發(fā)生同樣的情況嗎?企業(yè)如何掃描這種類型的漏洞?
Matthew Pascucci:最近,比特幣挖礦提供商Bitmain Technologies因其頗受歡迎的加密生成礦工硬件的固件中存在后門漏洞而陷入水深火熱之中。該漏洞被命名為Antbleed,其結(jié)合了Antminer模型和其他漏洞(例如Heartbleed),從而導(dǎo)致數(shù)據(jù)泄漏。
據(jù)估計,Bitmain在比特幣挖礦中占有70%左右的市場份額,而且在大多數(shù)系統(tǒng)的固件中都存在這種漏洞,因而比特幣行業(yè)普遍擔(dān)心Bitmain正試圖創(chuàng)建設(shè)備關(guān)系管理,甚或遠(yuǎn)程監(jiān)控其客戶。
Bitmain系統(tǒng)的固件是一個硬編碼的域,可以訪問auth.minerlink.com并在幾分鐘內(nèi)進行檢查,標(biāo)注之間最長的時間間隔為11分鐘。當(dāng)發(fā)生此標(biāo)注時,它會將MAC、IP地址甚至設(shè)備序列號發(fā)送到站點,如果無法連接到域,則設(shè)備停止挖礦。這是一個隱私問題,因為它可將個人信息(甚至是基于IP地址的設(shè)備的位置)發(fā)給不需要此數(shù)據(jù)的供應(yīng)商。
連接本身是出站連接,如果沒有特定源地址的防火墻是很難進行阻止的。許多隱私權(quán)倡導(dǎo)者對此提出擔(dān)憂:Bitmain可能監(jiān)控其客戶。
該標(biāo)注的另一個安全問題是其未經(jīng)驗證的性質(zhì),會導(dǎo)致該服務(wù)為域名系統(tǒng)劫持或中間人攻擊敞開大門。如果這種攻擊發(fā)生,或是在硬編碼的站點上發(fā)生了分布式拒絕服務(wù)攻擊,它可能會導(dǎo)致近70%的比特幣礦工挖礦操作的功能失效。
為阻止這種情況的發(fā)生,但要保留繼續(xù)挖礦的功能,礦工們已經(jīng)努力在其localhost文件中創(chuàng)建自定義條目,將127.0.0.1指向auth.minerlink.com。這給了系統(tǒng)本地域解析,但限制其發(fā)送信息或關(guān)閉應(yīng)用程序。
在看到Antbleed帶來的鬧劇后,Bitmain發(fā)表了一篇博文,解釋了該系統(tǒng)標(biāo)注的理由。根據(jù)其解釋,這項功能將被引入,作為客戶監(jiān)控設(shè)備的一種方式,并關(guān)閉可能被盜或被劫持的礦工。它給出了‘反叛者’被拒絕或被劫持的多個例子。
根據(jù)Bitmain的博客文章,該功能旨在為擁有者提供關(guān)閉已經(jīng)失去控制權(quán)的系統(tǒng)的能力。然而該功能并不成熟,并且被留在代碼中,它是開源的,并由研究人員發(fā)現(xiàn)。它采取措施來修復(fù)受影響的產(chǎn)品的所有固件,并更新所有受影響的固件,以刪除該功能。
固件攻擊并不是什么新鮮事,思科和瞻博網(wǎng)絡(luò)都曾在他們的設(shè)備上發(fā)現(xiàn)過惡意的固件攻擊。Anthemed問題是否是惡意的還有待評論。防止這些攻擊是非常困難的,通過引入基于行為的對企業(yè)網(wǎng)絡(luò)的理解和標(biāo)注并配以適當(dāng)?shù)姆侄魏头阑饓κ欠乐箶?shù)據(jù)被盜的唯一選擇。
即使是這樣,也很難實施精確的檢測。在阻止這些類型的威脅方面尚有很長的路要走。