Eine Sicherheitslücke im Cosmos SDK, einem Framework für Blockchain-Anwendungen, kann DDoS-Angriffe ermöglichen und in bestimmten Konfigurationen sogar Remote-Code-Ausführung erlauben. Betroffen sind Versionen vor 0.46.0, und Snyk empfiehlt ein Upgrade, um das Problem zu beheben. Die Schwachstelle betrifft insbesondere Nodes, die Cosmovisor mit aktiviertem Download von Binärdateien verwenden.
Eine Schwachstelle im Cosmos SDK, einem häufig genutzten Framework zur Entwicklung von Blockchain-Anwendungen, könnte laut Cryptopolitan DDoS-Angriffe ermöglichen. Die Sicherheitsfirma Snyk hat die als hoch eingestufte Sicherheitslücke am 8. September 2023 veröffentlicht. Versionen des Cosmos SDK vor 0.46.0 sind betroffen. Cryptopolitan berichtet, dass nicht unterstützte Versionen von Cosmovisor, einem Tool zur Verwaltung von Cosmos-SDK-basierten Nodes, von der Lücke betroffen sind. Je nach Konfiguration des Nodes oder Validators kann dies zu einem Denial-of-Service (DoS) oder sogar zur Ausführung von Remote-Code führen.
Snyk hebt hervor, dass insbesondere Validatoren, die eine betroffene Cosmovisor-Version mit der nicht standardmäßigen Konfiguration "DAEMON_ALLOW_DOWNLOAD_BINARIES=true" verwenden, anfällig für Remote-Code-Ausführung sind. Angreifer können durch speziell manipulierte Anfragen einen Systemabsturz oder eine Ressourcenüberlastung herbeiführen. Snyk erklärt, dass solche Angriffe als Denial-of-Service (DoS) klassifiziert werden, deren Ziel es ist, ein System für legitime Benutzer unzugänglich zu machen. Eine besonders verbreitete Form von DoS-Angriffen sind DDoS-Attacken (Distributed Denial of Service), bei denen das System durch eine Vielzahl von Anfragen aus verschiedenen Quellen überlastet wird.
Um zu prüfen, ob eine Cosmovisor-Installation betroffen ist, kann folgender Befehl ausgeführt werden: `strings ./cosmovisor | grep -q "NEEDED at" && echo "vulnerable" || echo "NOT vulnerable"`. Gibt der Befehl "vulnerable" aus, ist das System anfällig. Snyk empfiehlt als Abhilfemaßnahme ein Upgrade des Cosmos SDK auf Version 0.46.0 oder höher.
DoS-Angriffe sind ein bekanntes Problem im Bereich der Blockchain-Technologie. Auch im Zusammenhang mit dem Cosmos SDK gab es bereits Diskussionen über potenzielle DoS-Vektoren, wie beispielsweise im Issue 517 des CometBFT-Repositories, dem Nachfolger von Tendermint Core. Dort wird unter anderem die Problematik der Paginierung bei API-Anfragen und die Notwendigkeit der Begrenzung der zurückgegebenen Elemente zur Vermeidung von Systemüberlastungen diskutiert.
Auch frühere Sicherheitslücken im Cosmos SDK wurden bereits im Forum der Cosmos-Community thematisiert. Im Mai 2019 wurde eine kritische Sicherheitslücke im Staking-Modul des Cosmos SDK bekannt, die zu einem Hard Fork des Cosmos-Mainnets führte, wie im Forum der Cosmos-Community dokumentiert ist. Diese Lücke erlaubte es Validatoren, die Regeln des Systems zu umgehen, ohne Konsequenzen befürchten zu müssen.
Quellen:
