Hackerii exploatează Bug Zero Day - Fură din ATM-urile BTC General Bytes

Hackerii exploatează bug zero day care le permite să fure de la ATM-urile General Bytes Bitcoin. Atacul a avut loc pe 18 august, când au fost exploatate serverele producătorului de bancomate BTC menționat anterior. Bug-ul zero day a permis hackerilor să se autodesemneze ca administrator implicit și să modifice setările.

Făcând acest lucru, hackerii au putut să transmită toți banii furați în propriile lor portofele.

Suma de bani luată și numărul de bancomate afectate nu au fost publicate, totuși, compania a îndemnat operatorii de bancomate să-și actualizeze software-ul imediat.

Hackerii exploatează Bug Zero Day

Pe 18 august, General Bytes, care deține și administrează 8827 ATM-uri Bitcoin în peste 120 de țări, a recunoscut hack-ul. Sediul companiei se află în Praga, Republica Cehă, unde sunt fabricate și ATM-urile. Clienții care folosesc ATM-uri pot cumpăra sau vinde mai mult de 40 de monede.

Vulnerabilitatea există din 18 august, când modificările hackerului au schimbat software-ul CAS la versiunea 20201208.

Clienții au fost sfătuiți să nu-și folosească serverele ATM General Bytes până când serverele lor nu au fost actualizate cu corecțiile 20220725.22 și 20220531.38 pentru clienții care operează pe 20220531.

Clienții au fost, de asemenea, încurajați, printre altele, să-și modifice setările firewall-ului serverului, astfel încât interfața de administrare CAS să poată fi accesată numai de la adresele IP permise.

General Bytes i-a avertizat suplimentar pe consumatori să-și examineze „Setarea Crypto-ului SELL” înainte de a reactiva terminalele pentru a se asigura că hackerii nu au schimbat setările, astfel încât banii încasați să fie trimiși lor (și nu clienților).

De la începutul său în 2020, General Bytes a finalizat mai multe audituri de securitate, niciunul dintre acestea nu a găsit această problemă.

Cum sa întâmplat?

Potrivit echipei de consiliere de securitate a lui General Bytes, hackerii au folosit un exploit de vulnerabilitate zero-day pentru a obține acces la Crypto Application Server (CAS) al companiei și pentru a fura banii.

Serverul CAS supraveghează întreaga funcționare a ATM-ului, inclusiv execuția cumpărării și vânzării criptomonede pe burse și care sunt valutele acceptate.

Hackerii au „scanat pentru servere vulnerabile care operează pe porturile TCP 7777 sau 443, inclusiv servere găzduite pe propriul serviciu cloud al General Bytes”, potrivit companiei.

Hackerii s-au înregistrat apoi ca administrator implicit pe CAS, numindu-se gb, apoi au modificat setările de „cumpărare” și „vânzare”, astfel încât orice cripto primită de ATM-ul Bitcoin să fie trimis în schimb la adresa portofelului hackerului:

„Atacatorul a reușit să creeze un utilizator admin de la distanță prin interfața administrativă CAS printr-un apel URL pe pagina care este utilizată pentru instalarea implicită pe server și pentru crearea primului utilizator de administrare.”

Citeste ultimele știri despre criptomonede.