Hechos clave:
- Los hackers buscan monederos y mineros que tengan expuestos el puerto 8545 de la interfaz JSON-RPC.
- Los hackers llevan más de una semana escaneando Internet para dar con estos puertos expuestos.
En medio de un mercado con tendencias bajistas, los hackers no pierden el interés en las criptomonedas. Han aumentado los escaneos a Internet realizados por hackers que buscan monederos o mineros de Ethereum vulnerables, según reporta la firma de seguridad Bad Packets.
Troy Mursh, colaborador de la empresa, reportó en días previos un comportamiento inusual en dos aplicaciones para escanear la Internet, ZMap y Masscan. En sus investigaciones constató que las búsquedas de dispositivos de minería y monederos con puertos 8545 expuestos han aumentado en comparación con el mes pasado.
⚠️ WARNING ⚠️
Since Dec. 3, 2018, constant ZMap activity has been detected from 185.254.123.0/24 (Media Land LLC ??) probing 8545/tcp.This port is typically used by the JSON-RPC interface of #Ethereum software applications and should not be exposed to the internet.
— Bad Packets Report (@bad_packets) 9 de diciembre de 2018
Los puertos 8545 son usados por default por la API JSON-RPC, que sirve para conectar a las aplicaciones de monedero o dispositivo de minería con la blockchain de Ethereum para consultar información relacionada a fondos, minería de la red y llaves privadas. Esta interfaz, usada a través de este puerto, posee una vulnerabilidad que la expone a los hackers, pues permite sustraer las criptomonedas alojadas en las direcciones vinculadas a la API.
En teoría este puerto sólo debería estar expuesto de forma local para los administradores del servicio. No obstante, algunas carteras y plataformas de minería de Ethereum lo habilitan, sin saber, en todas sus interfaces.
Una de las características de JSON-RPC es que su panel de configuraciones comúnmente no tiene contraseña y cualquier usuario puede modificarlo, por lo cual si el puerto se encuentra expuesto es muy fácil de alterar. Los hackers se aprovechan de esta vulnerabilidad para enviar comandos a la interfaz expuesta para transferir los fondos almacenados en dichas direcciones de Ethereum hacia otro monedero.
A una semana de haber detectado este inusual aumento en las búsquedas de los puertos 8545, Mursh afirma que estas siguen creciendo y alerta a las empresas para que aseguren sus interfaces. Por ejemplo, en ZMap se habían realizado 6.601 búsquedas del puerto el 9 de diciembre, mientras que en Masscan se habían realizado 6.217.
Looking at recent 8545/tcp traffic for all honeypots, most has been either ZMap or Masscan.
ZMap: 6,601 – 51%
Masscan: 6,217 – 48%
Other: 96 – 1%— Bad Packets Report (@bad_packets) 9 de diciembre de 2018
La vulnerabilidad de la interfaz JSON-RPC fue descubierta por el equipo de Ethereum en el 2015, cuando sus desarrolladores advirtieron a todos los monederos y plataformas de minería que debían asegurar la configuración de esta interfaz con una contraseña o instalar un firewall para filtrar quiénes pueden, o no, acceder a su puerto.
Esta advertencia permitió que una gran cantidad de usuarios aumentara los niveles de seguridad de sus monederos. Sin embargo, en el 2017 esta vulnerabilidad afectó a varios usuarios de Ethereum, pues con el aumento del precio del ether los hackers se dedicaron a la búsqueda del puerto 8545 expuesto para robar las criptomonedas.
En noviembre del año pasado y en varias ocasiones en el 2018 se reportaron robos de ethers bajo esta modalidad. En junio del 2018 se calculó que se habían sustraído más de 38 mil ethers.
Troy Mursh considera que esta última incursión realizada por los hackers en los puertos expuestos de JSON-RCP es inusual, ya que el mercado de Ethereum no ha recuperado sus precios luego de la tendencia bajista que ha tenido todo el criptomercado en los últimos meses. No obstante, los precios bajos no parecen disuadir a los hackers, quienes podrían estar apostando generar ganancias con criptomonedas robadas cuando los precios del mercado vuelvan a subir.
Imagen destacada de Bits and Splits / stock.adobe.com
