Hackers Exploitaram Bug de Zero-day Para Roubar Criptomoedas de Caixas Eletrônicos de Bitcoin

Os atores de ameaças exploraram um bug de zero-day nos servidores de caixas eletrônicos de Bitcoin da General Bytes que lhes permitiu roubar criptomoedas de clientes que compraram ou depositaram bitcoin através desses caixas eletrônicos.

A General Bytes é atualmente um dos maiores fabricantes de caixas eletrônicos de Bitcoin, Blockchain e Criptomoedas, com mais de 9.000 caixas eletrônicos de criptomoedas instalados em todo o mundo. Com base no produto, permite que as pessoas comprem, negociem ou depositem mais de 40 criptomoedas diferentes.

Os caixas eletrônicos de Bitcoin fabricados pela empresa são controlados por um Servidor de Aplicação Crypto (CAS) remoto, que gerencia toda a operação do caixa eletrônico, incluindo quais criptomoedas são suportadas, compra e venda em tempo real de cripto em exchanges, e adição ou remoção de moedas para transações.

Em um aviso publicado pela General Bytes em 18 de agosto, a empresa reconheceu a existência de uma falha de zero-day e disse que o atacante abusou de uma vulnerabilidade de segurança na interface administrativa do CAS.

“O atacante conseguiu criar um usuário administrador remotamente através da interface administrativa do CAS via uma chamada de URL na página que é usada para a instalação padrão no servidor e criação do primeiro usuário de administração. Essa vulnerabilidade está presente no software CAS desde a versão 20201208”, diz o aviso da General Bytes.

A General Bytes acredita que os hackers escanearam o espaço de endereços IP de hospedagem em nuvem da Digital Ocean e identificaram serviços CAS em execução nas portas 7777 ou 443, incluindo servidores hospedados na Digital Ocean e no próprio serviço em nuvem da General Bytes.

Usando essa vulnerabilidade de segurança, os atores de ameaças então criaram um novo usuário administrador padrão, organização e terminal. Mais tarde, acessaram a interface do CAS e renomearam o usuário administrador padrão para ‘gb’ e modificaram as configurações de criptomoeda de máquinas de duas vias com suas configurações de carteira e a configuração de ‘endereço de pagamento inválido’.

Essas configurações modificadas permitiram que os atacantes encaminhassem qualquer criptomoeda recebida pelo CAS para suas carteiras. “Caixas eletrônicos de duas vias começaram a encaminhar moedas para a carteira do atacante quando os clientes enviaram moedas para o caixa eletrônico”, explica o aviso de segurança.

A empresa disse que realizou múltiplas auditorias de segurança desde sua criação em 2020, mas nenhuma delas identificou a vulnerabilidade. Os ataques ocorreram três dias após a empresa anunciar publicamente o recurso de ajuda à Ucrânia nos caixas eletrônicos, acrescentou.

A General Bytes afirma que os atores de ameaças não ganharam acesso ao sistema operacional do host, sistema de arquivos do host, banco de dados ou quaisquer senhas, hashes de senhas, salts, chaves privadas ou chaves de API.

A empresa forneceu uma correção de segurança do CAS em duas versões de patch do servidor, 20220531.38 e 20220725.22. Está instando os clientes que executam 20220531 a se absterem de operar seus caixas eletrônicos de Bitcoin até que instalem as versões de patch mencionadas acima em seus servidores.

A empresa também forneceu uma lista de verificação de etapas que precisam ser realizadas nos dispositivos antes de usar os serviços.

Além disso, é recomendado que você modifique as configurações do firewall do seu servidor para que a interface administrativa do CAS só possa ser acessada de endereços IP autorizados, como a partir da localização do caixa eletrônico ou do escritório do cliente.

Atualmente, 18 Servidores de Aplicação Crypto da General Bytes ainda estão expostos à internet, o que pode torná-los vulneráveis a uma exploração de zero-day. A maioria desses servidores expostos está situada no Canadá.

Não está claro quantos servidores foram comprometidos pela vulnerabilidade de zero-day e quanto de criptomoeda foi roubado até agora.