Des hackers ont exploité un bug zero-day pour voler des cryptomonnaies aux distributeurs Bitcoin

Des acteurs malveillants ont exploité un bug zero-day dans les serveurs de distributeurs automatiques de Bitcoin de General Bytes, ce qui leur a permis de voler des cryptomonnaies aux clients qui ont acheté ou déposé des bitcoins via ces distributeurs.

General Bytes est actuellement l’un des plus grands fabricants de distributeurs automatiques de Bitcoin, Blockchain et Cryptomonnaies, avec plus de 9 000 distributeurs de cryptomonnaies installés à travers le monde. En fonction du produit, il permet aux gens d’acheter, d’échanger ou de déposer plus de 40 cryptomonnaies différentes.

Les distributeurs automatiques de Bitcoin fabriqués par l’entreprise sont contrôlés par un serveur d’application Crypto (CAS) à distance, qui gère l’ensemble de l’opération du distributeur, y compris les cryptomonnaies prises en charge, l’achat et la vente en temps réel de cryptomonnaies sur les échanges, et l’ajout ou le retrait de pièces pour les transactions.

Dans un avis publié par General Bytes le 18 août, l’entreprise a reconnu l’existence d’un défaut zero-day et a déclaré que l’attaquant avait abusé d’une vulnérabilité de sécurité dans l’interface d’administration du CAS.

« L’attaquant a pu créer un utilisateur administrateur à distance via l’interface administrative du CAS grâce à un appel URL sur la page utilisée pour l’installation par défaut sur le serveur et la création du premier utilisateur d’administration. Cette vulnérabilité est présente dans le logiciel CAS depuis la version 20201208 », indique l’avis de General Bytes.

General Bytes pense que les hackers ont scanné l’espace d’adresses IP d’hébergement cloud de Digital Ocean et identifié les services CAS en cours d’exécution sur les ports 7777 ou 443, y compris les serveurs hébergés chez Digital Ocean et le propre service cloud de General Bytes.

En utilisant cette vulnérabilité de sécurité, les acteurs malveillants ont ensuite créé un nouvel utilisateur administrateur par défaut, une organisation et un terminal. Plus tard, ils ont accédé à l’interface CAS et ont renommé l’utilisateur administrateur par défaut en « gb », et ont modifié les paramètres crypto des machines à double sens avec leurs paramètres de portefeuille et le paramètre « adresse de paiement invalide ».

Ces paramètres modifiés ont permis aux attaquants de transférer toute cryptomonnaie reçue par le CAS vers leurs portefeuilles. « Les distributeurs automatiques à double sens ont commencé à transférer des pièces vers le portefeuille de l’attaquant lorsque les clients envoyaient des pièces au distributeur », explique l’avis de sécurité.

L’entreprise a déclaré avoir effectué plusieurs audits de sécurité depuis sa création en 2020, mais aucun d’entre eux n’a identifié la vulnérabilité. Les attaques sont survenues trois jours après que l’entreprise a annoncé publiquement la fonctionnalité d’aide à l’Ukraine sur les distributeurs, a-t-elle ajouté.

General Bytes affirme que les acteurs malveillants n’ont pas eu accès au système d’exploitation hôte, au système de fichiers hôte, à la base de données, ni à aucun mot de passe, hachages de mots de passe, sels, clés privées ou clés API.

L’entreprise a fourni un correctif de sécurité CAS dans deux versions de patch serveur, 20220531.38 et 20220725.22. Elle exhorte les clients utilisant 20220531 à s’abstenir d’exploiter leurs distributeurs automatiques de Bitcoin jusqu’à ce qu’ils installent les versions de patch mentionnées ci-dessus sur leurs serveurs.

L’entreprise a également fourni une liste de contrôle des étapes à effectuer sur les appareils avant d’utiliser les services.

De plus, il est recommandé de modifier les paramètres du pare-feu de votre serveur afin que l’interface d’administration CAS ne puisse être accessible que depuis des adresses IP autorisées, telles que l’emplacement du distributeur ou le bureau du client.

Actuellement, 18 serveurs d’application Crypto de General Bytes sont encore exposés à Internet, ce qui pourrait les rendre vulnérables à une exploitation zero-day. La majorité de ces serveurs exposés sont situés au Canada.

Il n’est pas clair combien de serveurs ont été compromis par la vulnérabilité zero-day et combien de cryptomonnaies ont été volées jusqu’à présent.