Tin tặc khai thác lỗi Zero Day - Ăn cắp từ các máy ATM BTC số byte chung

Tin tặc khai thác lỗi zero day cho phép chúng đánh cắp từ các máy ATM Bitcoin của General Bytes. Cuộc tấn công xảy ra vào ngày 18 tháng XNUMX, khi máy chủ của nhà sản xuất ATM BTC nói trên bị khai thác. Lỗi zero day cho phép tin tặc tự chỉ định mình làm quản trị viên mặc định và thay đổi cài đặt.

Bằng cách này, tin tặc có thể chuyển tất cả số tiền bị đánh cắp vào ví của chính chúng.

Số tiền bị lấy đi và số lượng máy ATM bị ảnh hưởng chưa được công bố, tuy nhiên doanh nghiệp này đã kêu gọi các nhà khai thác ATM cập nhật phần mềm ngay lập tức.

Hacker khai thác lỗi Zero Day

Vào ngày 18 tháng 8827, General Bytes, công ty sở hữu và quản lý 120 máy ATM Bitcoin tại hơn XNUMX quốc gia, thừa nhận vụ hack. Trụ sở chính của công ty đặt tại Praha, Cộng hòa Séc, nơi máy ATM cũng được sản xuất. Khách hàng sử dụng máy ATM có thể mua hoặc bán hơn 40 xu.

Lỗ hổng này đã tồn tại từ ngày 18/20201208, khi hacker thay đổi phần mềm CAS thành phiên bản XNUMX.

Khách hàng đã được khuyên không nên sử dụng máy chủ ATM General Bytes cho đến khi máy chủ của họ được cập nhật để vá các bản vá 20220725.22 và 20220531.38 cho khách hàng hoạt động vào ngày 20220531.

Ngoài những điều khác, khách hàng cũng được khuyến khích thay đổi cài đặt tường lửa máy chủ của mình để giao diện quản trị CAS chỉ có thể được truy cập từ các địa chỉ IP được phép.

General Bytes cảnh báo thêm người tiêu dùng nên kiểm tra “Cài đặt BÁN tiền điện tử” trước khi kích hoạt lại thiết bị đầu cuối để đảm bảo rằng tin tặc không thay đổi cài đặt để thay vào đó, bất kỳ khoản tiền đến nào sẽ được gửi cho họ (chứ không phải khách hàng).

Kể từ khi bắt đầu hoạt động vào năm 2020, General Bytes đã hoàn thành nhiều cuộc kiểm tra bảo mật, nhưng không cuộc kiểm tra nào trong số đó phát hiện ra vấn đề này.

Nó xảy ra như thế nào?

Theo nhóm cố vấn bảo mật của General Bytes, tin tặc đã sử dụng cách khai thác lỗ hổng zero-day để có quyền truy cập vào Máy chủ ứng dụng tiền điện tử (CAS) của công ty và đánh cắp tiền mặt.

Máy chủ CAS giám sát toàn bộ hoạt động của ATM, bao gồm việc thực hiện mua bán tiền điện tử trên các sàn giao dịch và loại tiền tệ nào được hỗ trợ.

Theo doanh nghiệp, tin tặc “đã quét các máy chủ dễ bị tấn công hoạt động trên các cổng TCP 7777 hoặc 443, bao gồm cả các máy chủ nằm trên dịch vụ đám mây của chính General Bytes”.

Sau đó, tin tặc đã đăng ký làm quản trị viên mặc định trên CAS, tự gọi mình là gb, sau đó sửa đổi cài đặt “mua” và “bán” sao cho bất kỳ loại tiền điện tử nào mà ATM Bitcoin nhận được đều được gửi đến địa chỉ ví của tin tặc:

“Kẻ tấn công có thể tạo người dùng quản trị từ xa thông qua giao diện quản trị CAS thông qua lệnh gọi URL trên trang được sử dụng để cài đặt mặc định trên máy chủ và tạo người dùng quản trị đầu tiên”.

Đọc tin tức tiền điện tử mới nhất.