Gli hacker hanno sfruttato un bug zero-day per rubare criptovalute dagli sportelli Bitcoin

Gli attori della minaccia hanno sfruttato un bug zero-day nei server degli sportelli Bitcoin General Bytes che ha permesso loro di rubare criptovaluta dai clienti che hanno acquistato o depositato bitcoin tramite questi sportelli.

General Bytes è attualmente uno dei più grandi produttori di sportelli ATM per Bitcoin, Blockchain e criptovalute con oltre 9.000 sportelli crypto installati in tutto il mondo. A seconda del prodotto, consente alle persone di acquistare, scambiare o depositare oltre 40 diverse criptovalute.

Gli sportelli Bitcoin prodotti dall’azienda sono controllati da un server di applicazione Crypto (CAS) remoto, che gestisce l’intera operazione dello sportello, comprese le criptovalute supportate, l’acquisto e la vendita in tempo reale di crypto sugli exchange e l’aggiunta o la rimozione di monete per le transazioni.

In un avviso pubblicato da General Bytes il 18 agosto, l’azienda ha riconosciuto l’esistenza di un difetto zero-day e ha dichiarato che l’attaccante ha abusato di una vulnerabilità di sicurezza nell’interfaccia di amministrazione del CAS.

“L’attaccante è stato in grado di creare un utente amministratore da remoto tramite l’interfaccia amministrativa del CAS tramite una chiamata URL sulla pagina utilizzata per l’installazione predefinita sul server e per la creazione del primo utente amministrativo. Questa vulnerabilità è presente nel software CAS dalla versione 20201208,” si legge nell’avviso di General Bytes.

General Bytes crede che gli hacker abbiano scansionato lo spazio degli indirizzi IP di hosting cloud di Digital Ocean e identificato i servizi CAS in esecuzione sulle porte 7777 o 443, inclusi i server ospitati su Digital Ocean e il servizio cloud di General Bytes.

Utilizzando questa vulnerabilità di sicurezza, gli attori della minaccia hanno quindi creato un nuovo utente amministratore predefinito, un’organizzazione e un terminale. Successivamente, hanno accesso all’interfaccia CAS e hanno rinominato l’utente amministratore predefinito in ‘gb’, e hanno modificato le impostazioni crypto delle macchine a due vie con le loro impostazioni di portafoglio e l’impostazione ‘indirizzo di pagamento non valido’.

Queste impostazioni modificate hanno permesso agli attaccanti di inoltrare qualsiasi criptovaluta ricevuta dal CAS ai loro portafogli. “Gli sportelli a due vie hanno iniziato a inoltrare monete al portafoglio dell’attaccante quando i clienti inviavano monete allo sportello,” spiega l’avviso di sicurezza.

L’azienda ha dichiarato di aver effettuato più audit di sicurezza dalla sua nascita nel 2020, ma nessuno di essi ha identificato la vulnerabilità. Gli attacchi sono avvenuti tre giorni dopo che l’azienda ha annunciato pubblicamente la funzione di aiuto all’Ucraina sugli sportelli, ha aggiunto.

General Bytes afferma che gli attori della minaccia non hanno ottenuto accesso al sistema operativo host, al file system host, al database o a qualsiasi password, hash di password, sali, chiavi private o chiavi API.

L’azienda ha fornito una correzione di sicurezza CAS in due rilasci di patch del server, 20220531.38 e 20220725.22. Sta esortando i clienti che utilizzano 20220531 a astenersi dall’operare i loro sportelli Bitcoin fino a quando non installano i rilasci di patch sopra menzionati sui loro server.

L’azienda ha anche fornito un elenco di controlli delle operazioni che devono essere eseguiti sui dispositivi prima di utilizzare i servizi.

Inoltre, si raccomanda di modificare le impostazioni del firewall del server in modo che l’interfaccia amministrativa del CAS possa essere accessibile solo da indirizzi IP autorizzati, come dalla posizione dello sportello o dall’ufficio del cliente.

Attualmente, 18 server di applicazione Crypto General Bytes sono ancora esposti a Internet, il che potrebbe renderli vulnerabili a un exploit zero-day. La maggior parte di questi server esposti si trova in Canada.

Non è chiaro quanti server siano stati violati dalla vulnerabilità zero-day e quanta criptovaluta sia stata rubata fino ad ora.