Beliebter Torrent-Client qBittorrent kann von Hackern missbraucht werden um eine Monero-Mining-Schadsoftware auf dem Zielrechner zu installieren, wenn er nicht richtig konfiguriert ist. Die Kombination aus unveränderten Standard-Anmeldedaten und UPnP-Einstellungen ermöglicht es Angreifern, Schadsoftware auf den PCs der Benutzer zu installieren. Glücklicherweise kann dies mit ein paar einfachen Schritten vermieden werden.
Funktionsweise von qBittorrent
qBittorrent ist ein Open-Source-Client der regelmäßig aktualisiert wird. Wie andere BitTorrent-Programme auch ist qBittorrent auf GitHub zu finden. Vor kurzem haben Benutzer jedoch berichtet, dass sie nach einer Standardinstallation von qBittorrent unerwünschte Software entdeckten die den Krypto-Coin Monero abbaute. Die Entwickler von qBittorrent haben sich bisher nicht zu diesem Vorfall geäußert.
Proxmox und LXC
Proxmox VE ist eine kostenlose Open-Source-Virtualisierungsplattform die auf Debian basiert. Sie bietet hilfreiche Skripte für qBittorrent ist aber nicht die Ursache für die Infektion mit der Mining-Software.
Sicherheitslücke leicht vermeidbar
Standardmäßig verwendet qBittorrent den Port 8080 für die Webschnittstelle. Viele Benutzer greifen gerne von außen auf ihre Torrent-Clients zu und verwenden UPnP um die Portweiterleitung zu automatisieren und die Weboberfläche erreichbar zu machen. Um sicherzustellen, dass nur der Betreiber des Clients auf die Weboberfläche zugreifen kann ist es wichtig die Zugangsdaten zu ändern. Die meisten Benutzer haben dies jedoch nicht getan, mittels welchem Angreifer mit den voreingestellten Daten auf die Weboberfläche zugreifen konnten.
Die Angreifer nutzten dann qBittorrent um ein externes Programm auszuführen und einen einfachen Skript herunterzuladen und auszuführen. Dadurch wurde unautorisiertes Cryptomining ermöglicht und der Angreifer erhielt Zugriff auf den Rechner.
Um diese Sicherheitslücke zu vermeiden, sollten Benutzer die Zugangsdaten ändern und UPnP auf dem Router deaktivieren, wenn es nicht benötigt wird. Dadurch werden nicht autorisierte Zugriffe von außen verhindert.
Kommentare