Αποκαλύφθηκε σοβαρό Backdoor στα mining μηχανήματα της Bitmain – Update 27/4-

Update 27/4 : H Bitmain έβγαλε ανακοίνωση για το θέμα και ισχυρίζεται ότι δεν είχε προβλέψει την σοβαρότητα του backdoor και ότι το είχε δημιουργήσει για προστασία των πελατών της ενάντια σε κλοπές. Πρόσθετα ανανέωση το firmware των miner της με αφαίρεση του.

Πριν λίγες ώρες αποκαλύφθηκε ότι τα ποιο δημοφιλή και διαδεδομένα Bitcoin mining μηχανήματα τα Antminer έχουν εγκατεστημένο Backdoor από την ίδια την Bitmain που όχι μόνο μπορεί να αποκαλύψει την ip όσων τα χρησιμοποιούν αλλά και να τα βγάλει τελείως εκτός δικτύου με μια απλή απομακρυσμένη εντολή,

Η  κατάσταση είναι ακόμα ποιο σοβαρή καθώς υπάρχει και ο κίνδυνος να χρησιμοποιήσει και κάποιος τρίτος αυτό το Backdoor βγάζοντας εκτός δικτύου το 70% της επεξεργαστικής ισχύς.

Συγκεκριμένα τα Antminer mining μηχανήματα της Bitmain κάνουν κάθε δέκα λεπτά check-in σε ένα κεντρικό server που ελέγχεται από την Bitmain αποκαλύπτοντας το serial number, τηνMAC address και την διεύθυνση ip τους. Ο κεντρικός όμως αυτός server μπορεί οποιαδήποτε στιγμή να γυρίσει ως false αυτό τον έλεγχο και να σταματήσει την λειτουργία του μηχανήματος.

The Antbleed Backdoor

Antbleed is a backdoor introduced by Bitmain into the firmware of their bitcoin mining hardware Antminer.

The firmware checks-in with a central service randomly every 1 to 11 minutes. Each check-in transmits the Antminer serial number, MAC address and IP address. Bitmain can use this check-in data to cross check against customer sales and delivery records making it personally identifiable. The remote service can then return “false” which will stop the miner from mining.

The patch was introduced here (pastebin) and can be seen in the source: here (github)

How bad is it?

At worst, this firmware backdoor allows Bitmain to shut off a large section of the global hashrate (estimated to be at up to 70% of all mining equipment). It can also be used to directly target specific machines or customers. Standard inbound firewall rules will not protect against this because the Antminer makes outbound connections.

Even without Bitmain being malicious, the API is unauthenticated and would allow any MITM, DNS or domain hijack to shutdown Antminers globally. Additionally the domain in question DNS is hosted by Cloudflare making it trivially subjected to government orders and state control.