Los hackers explotaron un error de día cero para robar criptomonedas de los cajeros automáticos de Bitcoin

Los actores de amenazas han explotado un error de día cero en los servidores de cajeros automáticos de Bitcoin de General Bytes que les permitió robar criptomonedas de los clientes que compraron o depositaron bitcoin a través de estos cajeros automáticos.

General Bytes es actualmente uno de los mayores fabricantes de cajeros automáticos de Bitcoin, Blockchain y criptomonedas, con más de 9,000 cajeros automáticos de criptomonedas instalados en todo el mundo. Según el producto, permite a las personas comprar, intercambiar o depositar más de 40 criptomonedas diferentes.

Los cajeros automáticos de Bitcoin fabricados por la empresa son controlados por un servidor de aplicación Crypto (CAS) remoto, que gestiona toda la operación del cajero automático, incluyendo qué criptomonedas son compatibles, la compra y venta en tiempo real de criptomonedas en intercambios, y la adición o eliminación de monedas para transacciones.

En un aviso publicado por General Bytes el 18 de agosto, la empresa reconoció la existencia de un defecto de día cero y dijo que el atacante abusó de una vulnerabilidad de seguridad en la interfaz de administración de CAS.

“El atacante pudo crear un usuario administrador de forma remota a través de la interfaz administrativa de CAS mediante una llamada URL en la página que se utiliza para la instalación predeterminada en el servidor y crear el primer usuario de administración. Esta vulnerabilidad ha estado presente en el software de CAS desde la versión 20201208”, dice el aviso de General Bytes.

General Bytes cree que los hackers escanearon el espacio de direcciones IP de alojamiento en la nube de Digital Ocean e identificaron servicios CAS en ejecución en los puertos 7777 o 443, incluidos los servidores alojados en Digital Ocean y el propio servicio en la nube de General Bytes.

Usando esta vulnerabilidad de seguridad, los actores de amenazas luego crearon un nuevo usuario administrador predeterminado, organización y terminal. Más tarde, accedieron a la interfaz de CAS y renombraron al usuario administrador predeterminado a ‘gb’, y modificaron la configuración de criptomonedas de las máquinas de dos vías con sus configuraciones de billetera y la configuración de ‘dirección de pago inválida’.

Estas configuraciones modificadas permitieron a los atacantes redirigir cualquier criptomoneda recibida por CAS a sus billeteras. “Los cajeros automáticos de dos vías comenzaron a redirigir monedas a la billetera del atacante cuando los clientes enviaron monedas al cajero automático”, explica el aviso de seguridad.

La empresa dijo que ha llevado a cabo múltiples auditorías de seguridad desde su creación en 2020, pero ninguna de ellas identificó la vulnerabilidad. Los ataques ocurrieron tres días después de que la empresa anunciara públicamente la función de ayuda a Ucrania en los cajeros automáticos, añadió.

General Bytes afirma que los actores de amenazas no han obtenido acceso al sistema operativo del host, al sistema de archivos del host, a la base de datos, ni a ninguna contraseña, hash de contraseña, sal, claves privadas o claves API.

La empresa ha proporcionado una solución de seguridad de CAS en dos lanzamientos de parches de servidor, 20220531.38 y 20220725.22. Está instando a los clientes que ejecutan 20220531 a abstenerse de operar sus cajeros automáticos de Bitcoin hasta que instalen los lanzamientos de parches mencionados anteriormente en sus servidores.

La empresa también ha proporcionado una lista de verificación de pasos que deben realizarse en los dispositivos antes de utilizar los servicios.

Además, se recomienda que modifique la configuración del firewall de su servidor para que la interfaz administrativa de CAS solo pueda ser accedida desde direcciones IP autorizadas, como desde la ubicación del cajero automático o la oficina del cliente.

Actualmente, 18 servidores de aplicación Crypto de General Bytes aún están expuestos a Internet, lo que puede hacer que sean vulnerables a un exploit de día cero. La mayoría de estos servidores expuestos están situados en Canadá.

No está claro cuántos servidores fueron vulnerados por la vulnerabilidad de día cero y cuántas criptomonedas han sido robadas hasta ahora.