Si bien la funcionalidad del cliente BitTorrent no ha cambiado fundamentalmente en los últimos 20 años, los desarrolladores de clientes líderes no han dejado que su software se estanque.
Un buen ejemplo es el excelente qBittorrent, un cliente de código abierto rico en funciones que aún recibe actualizaciones periódicas. Al igual que clientes similares, qBittorent puede ser encontrado en GitHub junto con su fuente e instrucciones de instalación.
En otra parte de la misma plataforma, los usuarios recientemente intentaron descubrir cómo una instalación estándar de qBittorrent condujo repentinamente a la aparición de software de minería de criptomonedas no deseado en la misma máquina.
Proxmox y LXC
Para aquellos que no están familiarizados con Proxmox VE, es un entorno para máquinas virtuales que una vez probado resulta muy útil y extremadamente rápido. También es gratuito para simples mortales y, en la mayoría de circunstancias, muy fácil de instalar y poner en funcionamiento.
Con la ayuda de varios 'scripts de ayuda' de Proxmox ofrecidos por tteck en GitHub (pequeña muestra a la derecha), incluso los principiantes pueden instalar cualquiera de las docenas de paquetes de software disponibles en cuestión de segundos usando Contenedores LXC.
Incluso si nada de eso tiene sentido, no importa. Aquellos que quieran instalar qBittorrent, por ejemplo, pueden copiar y pegar una sola línea de texto en Proxmox… y listo. Dado que todo el proceso casi siempre es impecable, los problemas de los usuarios son muy raros, por lo que escuchar sobre una posible infección de malware fue una verdadera sorpresa recientemente.
Descubrimiento de criptomineros
En resumen, un usuario de Proxmox implementó un script tteck para instalar qBittorrent y luego, un mes después, descubrió que su máquina estaba siendo explotada intensamente por un software de criptominería conocido como xmrig. Mientras investigaba el problema, tteck eliminó el script qBittorrent LXC como precaución básica, pero pronto quedó claro que ni Proxmox ni el script de tteck tenían nada que ver con el problema.
De hecho, el software no deseado se instaló de forma maliciosa, pero debido a una serie de eventos evitables, más que a un truco genial.
Cuando se completa una instalación de qBittorrent como esta y se inicia el software, el acceso a qBittorrent se realiza a través de una interfaz web accesible desde la mayoría de los navegadores web. De forma predeterminada, qBittorrent usa el puerto 8080 y dado que a muchos usuarios les gusta acceder a sus clientes de torrent desde redes remotas, qBittorrent usa UPnP (Universal Plug and Play) para automatizar el reenvío de puertos, exponiendo así la interfaz web a Internet.
Tener esto funcionando en un tiempo récord es muy bueno, pero eso no significa que sea seguro. Para garantizar que solo el operador del cliente pueda acceder a la interfaz web, qBittorrent permite al usuario configurar un nombre de usuario y una contraseña con fines de autenticación.
Esto generalmente significa que los transeúntes aleatorios deberán poseer estas credenciales antes de poder causar daños. En este caso, el nombre de usuario y la contraseña del administrador predeterminados no se cambiaron y eso permitió que un atacante accediera fácilmente a la interfaz web.
El atacante le dijo a qBittorrent que ejecutara un programa externo
Para permitir a los usuarios automatizar diversas tareas relacionadas con la descarga y organización de sus archivos, qBittorrent tiene una función que puede ejecutar automáticamente un programa externo cuando se agrega un torrent y/o cuando finaliza un torrent.
Las opciones aquí están limitadas sólo por la imaginación y la habilidad del usuario, pero desafortunadamente lo mismo se aplica a cualquier atacante con acceso a la interfaz web del cliente.
En este caso, el atacante le dijo al cliente qBittorrent que ejecutara un script básico al finalizar un torrent. El script accedió al dominio http://cdnsrv.in desde donde descargó un archivo llamado update.sh y luego lo ejecutó. Las consecuencias de eso son explicado en detalle por tteck, pero los puntos principales son a) criptominería no autorizada en la máquina host y b) el atacante mantiene el acceso raíz mediante autenticación de clave SSH.
Fácilmente evitado
El nombre de usuario de administrador predeterminado para qBittorrent es 'admin', mientras que la contraseña predeterminada es 'adminadmin'. Si estos valores predeterminados de conocimiento común se hubieran cambiado después de la instalación, el atacante aún habría encontrado la interfaz web pero no habría tenido credenciales útiles para el acceso convencional.
Más fundamentalmente, la posesión de las credenciales correctas habría tenido un valor limitado si el cliente qBittorrent no hubiera usado UPnP para exponer la interfaz web en primer lugar. Dando un paso más atrás, si UPnP no se hubiera habilitado en el enrutador del usuario, qBittorrent no habría tenido acceso a UPnP y no habría podido reenviar puertos ni exponer la interfaz a Internet.
En resumen: deshabilite UPnP en el enrutador y habilítelo solo una vez que comprenda completamente su función y cuando sea absolutamente necesario. Nunca deje las contraseñas predeterminadas sin cambios y, si no es necesario exponer algo en Internet, no lo haga innecesariamente.
Finalmente, vale la pena mencionar que tteckLa respuesta de, a un problema que no tenía nada que ver con Proxmox o sus scripts, ha sido de primera. Cualquiera que instale qBittorrent LXC desde aquí encontrará que la contraseña de administrador predeterminada cambió y UPnP se deshabilitó automáticamente.
El tiempo ahorrado se puede dedicar a instalaciones automatizadas de Plex, Tautulli, Emby, Jellyfin, Jellyseerr, Overseerr, Navidrome, Bazarr, Lidarr, Prowlarr, Radarr, Readarr, Sonarr, Tdarr, Whisparr y muchos, muchos más.
Proxmox: un hipervisor tipo 1 de código abierto
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- ChartPrime. Eleve su juego comercial con ChartPrime. Accede Aquí.
- Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
- Fuente: https://torrentfreak.com/qbittorrent-web-ui-exploited-to-mine-cryptocurrency-heres-how-to-fix-230902/
