访问该公司的主要网站你不会知道,但销售比特币 ATM 的捷克公司 General Bytes 是 敦促其用户 至 修补一个严重的资金流失错误 在其服务器软件中。
该公司声称在全球销售了超过 13,000 台 ATM,零售价在 5000 美元以上,具体取决于功能和外观。
并非所有国家都对加密货币 ATM 持友好态度——例如,英国监管机构, 2022年XNUMX月警告 当时在该国运营的自动取款机都没有正式注册,并表示将 “联系操作员,指示关闭机器”.
我们当时去检查我们当地的加密货币 ATM,发现它显示“终端离线”消息。 (该设备已从安装它的购物中心移走。)
尽管如此,General Bytes 表示,它为 140 多个国家/地区的客户提供服务,其 ATM 位置的全球地图显示,除南极洲以外的每个大陆都有存在。
报告的安全事件
根据 General Bytes 产品知识库,严重级别为 最高 是 上周发现.
用公司自己的话来说:
攻击者能够通过 CAS 管理界面,通过页面上的 URL 调用远程创建管理员用户,该页面用于服务器上的默认安装并创建第一个管理用户。
据我们所知, CAS 是短期的 硬币ATM服务器,General Bytes 加密货币 ATM 的每个运营商都需要其中之一。
您似乎可以在任何您喜欢的地方托管您的 CAS,包括在您自己的服务器机房中的您自己的硬件上,但 General Bytes 与托管公司 Digital Ocean 签订了一项特殊协议,以提供低成本的云解决方案。 (您也可以让 General Bytes 在云中为您运行服务器,以换取所有现金交易的 0.5% 分成。)
根据事件报告,攻击者对 Digital Ocean 的云服务进行了端口扫描,寻找将自己识别为 General Bytes CAS 服务器的侦听 Web 服务(端口 7777 或 443),以找到潜在受害者列表。
请注意,此处利用的漏洞并不局限于 Digital Ocean 或仅限于基于云的 CAS 实例。 我们猜测攻击者只是认为 Digital Ocean 是一个开始寻找的好地方。 请记住,通过非常高速的互联网连接(例如 10Gbit/秒)并使用免费提供的软件,坚定的攻击者现在可以在几小时甚至几分钟内扫描整个 IPv4 互联网地址空间。 这就是 Shodan 和 Censys 等公共漏洞搜索引擎的工作方式,不断在互联网上搜索,以发现哪些服务器以及哪些版本目前在哪些在线位置处于活动状态。
显然,CAS 本身的一个漏洞允许攻击者操纵受害者的加密货币服务的设置,包括:
- 添加新用户 具有管理权限。
- 使用这个新的管理员帐户 重新配置现有的 ATM。
- 转移所有无效付款 到自己的钱包里。
据我们所见,这意味着所进行的攻击仅限于客户犯错的转账或取款。
在这种情况下,似乎不是 ATM 运营商收集被误导的资金,以便随后可以报销或正确重定向……
…资金将直接且不可逆转地流向攻击者。
General Bytes 没有说明这个缺陷是如何引起它的注意的,尽管我们认为任何 ATM 操作员在遇到有关交易失败的支持电话时都会很快注意到他们的服务设置已被篡改,并发出警报。
妥协指标
攻击者似乎留下了他们活动的各种迹象,因此 General Bytes 能够识别出许多所谓的 妥协指标 (IoC) 帮助用户识别被黑的 CAS 配置。
(当然,请记住,没有 IoC 并不能保证没有任何攻击者,但在威胁检测和响应方面,已知的 IoC 是一个方便的起点。)
幸运的是,也许是因为此漏洞利用依赖于无效支付,而不是让攻击者直接耗尽 ATM,因此这次事件中的整体经济损失不会陷入 数百万美元 量 经常关联 加密货币失误.
General Bytes 昨天 [2022-08-22] 声称 “[i] 事件已向捷克警方报告。 根据他们的反馈,对 ATM 运营商造成的总损失为 16,000 美元。”
该公司还自动停用其代表客户管理的任何 ATM,因此要求这些客户在重新激活其 ATM 设备之前登录并查看自己的设置。
怎么办呢?
General Bytes 列出了一个 11步骤流程 其客户需要遵循以修复此问题,包括:
- 修补 CAS 服务器。
- 查看防火墙设置 限制对尽可能少的网络用户的访问。
- 停用 ATM 终端机 以便再次启动服务器以供审查。
- 查看所有设置,包括可能已添加的任何虚假终端。
- 重新激活终端 只有在完成所有威胁搜寻步骤之后。
顺便说一句,这次攻击强烈提醒人们为什么当代威胁响应 不仅仅是修补漏洞和删除恶意软件.
在这种情况下,犯罪分子没有植入任何恶意软件:攻击只是通过恶意配置更改精心策划的,底层操作系统和服务器软件未受影响。
没有足够的时间或人员?
进一步了解 Sophos 托管检测和响应:
24/7 威胁追踪、检测和响应 ▶
想象中的比特币的特色图片来自 Unsplash 许可证.