ハッカーがゼロデイバグを悪用してビットコインATMから暗号通貨を盗む

脅威のアクターは、General BytesのビットコインATMサーバーに存在するゼロデイバグを悪用し、これらのATMを通じてビットコインを購入または預け入れた顧客から暗号通貨を盗むことを可能にしました。

General Bytesは、世界中に9,000台以上の暗号ATMを設置している最大のビットコイン、ブロックチェーン、暗号通貨ATM製造業者の一つです。この製品に基づいて、40種類以上の異なる暗号通貨を購入、取引、または預け入れることができます。

同社が製造したビットコインATMは、リモートCrypto Application Server (CAS)によって制御されており、ATMの全操作を管理します。これには、サポートされる暗号通貨、取引所でのリアルタイムの暗号の売買、取引のためのコインの追加または削除が含まれます。

General Bytesが8月18日に発表したアドバイザリーでは、ゼロデイの欠陥の存在を認め、攻撃者がCAS管理インターフェースのセキュリティ脆弱性を悪用したと述べています。

「攻撃者は、サーバーのデフォルトインストールに使用されるページ上のURL呼び出しを介してCAS管理インターフェースを通じてリモートで管理ユーザーを作成することができました。この脆弱性は、バージョン20201208以降のCASソフトウェアに存在しています」とGeneral Bytesのアドバイザリーには記載されています。

General Bytesは、ハッカーがDigital OceanのクラウドホスティングIPアドレス空間をスキャンし、ポート7777または443で実行されているCASサービスを特定したと考えています。これには、Digital OceanでホストされているサーバーやGeneral Bytes自身のクラウドサービスが含まれます。

このセキュリティ脆弱性を利用して、脅威のアクターは新しいデフォルトの管理ユーザー、組織、端末を作成しました。その後、CASインターフェースにアクセスし、デフォルトの管理ユーザーの名前を「gb」に変更し、二方向ATMの暗号設定を自分のウォレット設定と「無効な支払いアドレス」設定に変更しました。

これらの変更された設定により、攻撃者はCASによって受け取った暗号通貨を自分のウォレットに転送することができました。「二方向ATMは、顧客がATMにコインを送信すると、攻撃者のウォレットにコインを転送し始めました」とセキュリティアドバイザリーは説明しています。

同社は、2020年の設立以来、複数のセキュリティ監査を実施してきましたが、いずれもこの脆弱性を特定できなかったと述べています。攻撃は、同社がATMでウクライナ支援機能を公表した3日後に発生しました。

General Bytesは、脅威のアクターがホストオペレーションシステム、ホストファイルシステム、データベース、またはパスワード、パスワードハッシュ、ソルト、秘密鍵、APIキーにアクセスしていないと主張しています。

同社は、CASのセキュリティ修正を2つのサーバーパッチリリース、20220531.38および20220725.22で提供しました。顧客には、上記のパッチリリースをサーバーにインストールするまで、20220531を実行しているビットコインATMの運用を控えるよう呼びかけています。

同社は、サービスを使用する前にデバイスで実行する必要がある手順のチェックリストも提供しています。

さらに、CAS管理インターフェースにアクセスできるのは、ATMの場所や顧客のオフィスなどの認可されたIPアドレスからのみアクセスできるように、サーバーのファイアウォール設定を変更することを推奨しています。

現在、18台のGeneral Bytes Crypto Application Serversがインターネットにさらされており、ゼロデイの悪用に対して脆弱である可能性があります。これらの露出したサーバーの大部分はカナダに位置しています。

ゼロデイ脆弱性によって侵害されたサーバーの数や、これまでに盗まれた暗号通貨の量は不明です。