Злоумышленники сканируют интернет в поисках нод EOS, которые могут распространять свои приватные ключи из-за неправильно сконфигурированного API, пишет
Bleeping Computer.
Как сообщила компания GreyNoise, сканирование началось во вторник, а вся подозрительная активность исходит от IP-адреса 185.169.231.209.
Сканирование началось через несколько часов после
публикации материала китайской компании Qihoo 360, которая сообщила о «серии грандиозных уязвимостей» в ПО EOS, позволяющих осуществлять удалённый запуск кода на нодах и вызывать ряд нежелательных последствий, однако последняя атака, по всей видимости, отношения к этому сообщению не имеет.
Однако она напрямую связана с опубликованным неделю назад на GitHub
отчётом, в котором говорится о проблеме в конечной точке API EOS RPC, приводящей к раскрытию приватных ключей аккаунтов EOS.
Согласно отчёту на GitHub, аутентификационной системы, которая бы защитила конечную точку этого API, не существует, а информация передаётся в сеть через публичный интерфейс нод EOS.
Очевидно, организатор атаки ознакомился с отчётом на GitHub и теперь пытается найти ноды, владельцы которых не предприняли необходимых мер для обеспечения их безопасности.
Тем не менее, ситуация не настолько критична, как может показаться. Как сообщил один из разработчиков EOS, эта конечная точка API не является стандартным элементом API EOS и включена только в файл wallet_plugin. Этот плагин используется для проведения тестов, то есть на практике очень небольшое число нод будет использовать его при прямом подключении к интернету, и, как правило, он не запускается на рабочих нодах.
В любом случае, все владельцы нод EOS, которые до сих не сделали этого, должны отключить плагин на своих рабочих нодах и использовать другой метод для обработки приватных ключей.
Ранее разработчики EOS
сообщили,
что они устранили обнаруженную Qihoo 360 уязвимость, добавив, что она
не была настолько серьёзной, как об этом писала китайская компания.