Hakkerit hyödyntävät nollapäivävirhettä – varastaa General Bytes BTC -pankkiautomaateista

Hakkerit käyttävät hyväkseen nollapäivävirhettä, jonka avulla he voivat varastaa General Bytes Bitcoin -pankkiautomaateista. Hyökkäys tapahtui 18. elokuuta, kun edellä mainitun BTC ATM-valmistajan palvelimia käytettiin hyväksi. Nollapäivän bugi antoi hakkereille mahdollisuuden nimetä itsensä oletusjärjestelmänvalvojaksi ja muuttaa asetuksia.

Näin hakkerit pystyivät siirtämään kaiken varastetun rahan omiin lompakoihinsa.

Nostettujen rahojen määrää ja vaikutuspiirissä olevien pankkiautomaattien määrää ei ole julkistettu, mutta yritys on kehottanut pankkiautomaattioperaattoreita päivittämään ohjelmistonsa välittömästi.

Hakkerit hyödyntävät Zero Day Bugia

18. elokuuta General Bytes, joka omistaa ja hallinnoi 8827 Bitcoin-pankkiautomaattia yli 120 maassa, myönsi hakkeroinnin. Yrityksen pääkonttori on Prahassa, Tšekin tasavallassa, missä myös pankkiautomaatit valmistetaan. Pankkiautomaattia käyttävät asiakkaat voivat ostaa tai myydä yli 40 kolikkoa.

Haavoittuvuus on ollut olemassa 18. elokuuta lähtien, jolloin hakkerin tekemät muutokset muuttivat CAS-ohjelmiston versioon 20201208.

Asiakkaita on kehotettu olemaan käyttämättä General Bytes ATM -palvelimia ennen kuin heidän palvelimensa on päivitetty korjauspäivityksiin 20220725.22 ja 20220531.38 asiakkaille, jotka käyttävät numeroa 20220531.

Asiakkaita on myös kannustettu muun muassa muuttamaan palvelimen palomuurin asetuksia siten, että CAS-hallintaliittymään pääsee vain sallituista IP-osoitteista.

Yleistä Bytes varoitti kuluttajia lisäksi tarkistamaan "SELL Crypto Setting" -asetuksensa ennen päätteiden uudelleenaktivointia varmistaakseen, etteivät hakkerit muuttaneet asetuksia niin, että kaikki saapuvat rahat lähetettiin heille (eikä asiakkaille).

Vuoden 2020 alusta lähtien General Bytes on suorittanut useita tietoturvatarkastuksia, joista yksikään ei ole löytänyt tätä ongelmaa.

Miten se tapahtui?

General Bytesin turvallisuusneuvontatiimin mukaan hakkerit käyttivät nollapäivän haavoittuvuuden hyväksikäyttöä saadakseen pääsyn yrityksen Crypto Application Serveriin (CAS) ja varastaakseen rahaa.

CAS-palvelin valvoo pankkiautomaatin koko toimintaa, mukaan lukien krypto-ostojen ja -myynnin suorittamista pörsseissä sekä tuettuja valuuttoja.

Yrityksen mukaan hakkerit etsivät haavoittuvia palvelimia, jotka toimivat TCP-porteilla 7777 tai 443, mukaan lukien General Bytesin omassa pilvipalvelussa sijaitsevat palvelimet.

Tämän jälkeen hakkerit rekisteröivät itsensä CAS:n oletusjärjestelmänvalvojaksi kutsuen itseään gb:ksi ja muuttivat sitten "osta"- ja "myy"-asetuksia siten, että kaikki Bitcoin-pankkiautomaatin vastaanottamat kryptot lähetettiin sen sijaan hakkerin lompakon osoitteeseen:

"Hyökkääjä pystyi luomaan järjestelmänvalvojan etäkäyttäjän CAS-hallintaliittymän kautta URL-kutsun avulla sivulla, jota käytetään oletusasennukseen palvelimelle ja ensimmäisen järjestelmänvalvojan luomiseen."

Lue viimeisimmät kryptovaluuttauutiset.