Серверы производителя биткоин-банкоматов General Bytes были скомпрометированы в результате атаки нулевого дня 18 августа, что позволило хакерам сделать себя администраторами по умолчанию и изменить настройки, чтобы все средства переводились на адрес их кошелька.
Сумма украденных средств и количество скомпрометированных банкоматов не разглашаются, но компания настоятельно рекомендовала операторам банкоматов обновить свое программное обеспечение.
Взлом был подтвержден компанией General Bytes 18 августа, которая владеет и управляет 8827 биткоин-банкоматами, доступными в более чем 120 странах. Штаб-квартира компании находится в Праге, Чешская Республика, где также производятся банкоматы. Клиенты банкомата могут купить или продать более 40 монет.
Уязвимость присутствует с тех пор, как хакерские модификации обновили программное обеспечение CAS до версии 20201208 18 августа.
Компания General Bytes призвала клиентов воздержаться от использования своих серверов банкоматов General Bytes до тех пор, пока они не обновят свой сервер до выпуска исправлений 20220725.22 и 20220531.38 для клиентов, работающих на 20220531.
Клиентам также было рекомендовано изменить настройки брандмауэра своего сервера, чтобы доступ к интерфейсу администратора CAS был возможен только с авторизованных IP-адресов, среди прочего.
Перед повторной активацией терминалов General Bytes также напомнил клиентам проверить их «Настройки ПРОДАЖИ криптовалюты», чтобы убедиться, что хакеры не изменили настройки таким образом, чтобы любые полученные средства вместо этого были переведены им (а не клиентам).
General Bytes заявила, что с момента ее создания в 2020 году было проведено несколько проверок безопасности, ни одна из которых не выявила эту уязвимость.
Как произошло нападение
Консультативная группа по безопасности General Bytes заявила в блоге, что хакеры провели атаку уязвимости нулевого дня, чтобы получить доступ к серверу приложений криптовалюты (CAS) компании и извлечь средства.
Сервер CAS управляет всей работой банкомата, включая выполнение покупки и продажи криптовалюты на биржах и поддерживаемых монет.
Связанный: Уязвимость: Kraken показывает, что многие биткоин-банкоматы в США по-прежнему используют QR-коды администратора по умолчанию
Компания считает, что хакеры «просканировали открытые серверы, работающие на TCP-портах 7777 или 443, включая серверы, размещенные в собственном облачном сервисе General Bytes».
Оттуда хакеры добавили себя в качестве администратора по умолчанию в CAS с именем «gb», а затем продолжили изменять настройки «покупки» и «продажи», чтобы любая криптовалюта, полученная биткоин-банкоматом, вместо этого была передана хакеру. адрес кошелька:
«Злоумышленник смог создать пользователя-администратора удаленно через административный интерфейс CAS, вызвав URL-адрес на странице, которая используется для установки по умолчанию на сервере и создания первого пользователя-администратора».
