Хакеры использовали уязвимость нулевого дня для кражи криптовалюты из Bitcoin-банкоматов

Угроза исходит от злоумышленников, которые использовали уязвимость нулевого дня в серверах Bitcoin-банкоматов General Bytes, что позволило им украсть криптовалюту у клиентов, которые покупали или вносили биткойны через эти банкоматы.

General Bytes в настоящее время является одним из крупнейших производителей Bitcoin, Blockchain и Cryptocurrency банкоматов с более чем 9,000 крипто-банкоматов, установленных по всему миру. В зависимости от продукта, он позволяет людям покупать, торговать или вносить более 40 различных криптовалют.

Bitcoin-банкоматы, производимые компанией, контролируются удаленным сервером Crypto Application Server (CAS), который управляет всей операцией банкомата, включая поддерживаемые криптовалюты, покупку и продажу криптовалюты в реальном времени на биржах, а также добавление или исключение монет для транзакций.

В уведомлении, опубликованном General Bytes 18 августа, компания признала наличие уязвимости нулевого дня и сообщила, что злоумышленник воспользовался уязвимостью безопасности в административном интерфейсе CAS.

“Злоумышленник смог создать администратора удаленно через административный интерфейс CAS с помощью вызова URL на странице, которая используется для стандартной установки на сервере и создания первого администратора. Эта уязвимость присутствует в программном обеспечении CAS с версии 20201208,” говорится в уведомлении General Bytes.

General Bytes считает, что хакеры сканировали IP-адреса облачного хостинга Digital Ocean и идентифицировали работающие сервисы CAS на портах 7777 или 443, включая серверы, размещенные в Digital Ocean и собственном облачном сервисе General Bytes.

Используя эту уязвимость безопасности, злоумышленники затем создали нового администратора по умолчанию, организацию и терминал. Позже они получили доступ к интерфейсу CAS и переименовали администратора по умолчанию в ‘gb’, а также изменили настройки криптовалюты двухсторонних машин на свои настройки кошелька и настройку ‘недействительного адреса платежа’.

Эти измененные настройки позволили злоумышленникам перенаправлять любую криптовалюту, полученную CAS, на свои кошельки. “Двухсторонние банкоматы начали перенаправлять монеты на кошелек злоумышленника, когда клиенты отправляли монеты в банкомат,” объясняет уведомление о безопасности.

Компания заявила, что провела несколько аудитов безопасности с момента своего создания в 2020 году, но ни один из них не выявил уязвимость. Атаки произошли через три дня после того, как компания публично объявила о функции помощи Украине на банкоматах, добавила она.

General Bytes утверждает, что злоумышленники не получили доступ к операционной системе хоста, файловой системе хоста, базе данных или каким-либо паролям, хэшам паролей, солям, закрытым ключам или API-ключам.

Компания предоставила исправление безопасности CAS в двух релизах патчей для сервера, 20220531.38 и 20220725.22. Она призывает клиентов, использующих 20220531, воздержаться от эксплуатации своих Bitcoin-банкоматов до установки вышеупомянутых релизов патчей на свои серверы.

Компания также предоставила контрольный список шагов, которые необходимо выполнить на устройствах перед использованием услуг.

Кроме того, рекомендуется изменить настройки брандмауэра вашего сервера так, чтобы к административному интерфейсу CAS можно было получить доступ только с авторизованных IP-адресов, таких как местоположение банкомата или офис клиента.

В настоящее время 18 серверов Crypto Application Server от General Bytes все еще подвержены воздействию интернета, что может сделать их уязвимыми для эксплуатации нулевого дня. Большинство из этих открытых серверов расположены в Канаде.

Неясно, сколько серверов было взломано из-за уязвимости нулевого дня и сколько криптовалюты было украдено до сих пор.