Серверы вытворцы біткойн-банкаматаў General Bytes былі ўзламаныя з дапамогай атакі нулявога дня 18 жніўня, што дазволіла хакерам зрабіць сябе адміністратарамі па змаўчанні і змяніць налады так, каб усе сродкі былі пераведзены на адрас іх кашалька.
Сума скрадзеных сродкаў і колькасць узламаных банкаматаў не раскрываюцца, але кампанія тэрмінова параіла аператарам банкаматаў абнавіць сваё праграмнае забеспячэнне.
Хак быў пацверджаны General Bytes 18 жніўня, якая валодае і кіруе 8827 біткойн-банкаматамі, даступнымі ў больш чым 120 краінах. Штаб-кватэра кампаніі знаходзіцца ў Празе, Чэшская Рэспубліка, дзе таксама вырабляюцца банкаматы. Кліенты банкаматаў могуць купіць або прадаць больш за 40 манет.
Уразлівасць прысутнічае з таго часу, як хакер абнавіў праграмнае забеспячэнне CAS да версіі 20201208 18 жніўня.
Кампанія General Bytes заклікала кліентаў устрымлівацца ад выкарыстання сервераў банкаматаў General Bytes, пакуль яны не абновяць свой сервер да выпуску выпраўленняў 20220725.22 і 20220531.38 для кліентаў, якія працуюць на 20220531.
Кліентам таксама было рэкамендавана змяніць налады брандмаўэра сервера такім чынам, каб доступ да інтэрфейсу адміністратара CAS быў даступны толькі з аўтарызаваных IP-адрасоў, сярод іншага.
Перш чым паўторна актываваць тэрміналы, General Bytes таксама нагадаў кліентам праглядзець свае «Настройкі SELL Crypto», каб пераканацца, што хакеры не змянілі налады такім чынам, што атрыманыя сродкі будуць пераведзены ім (а не кліентам).
Генерал Байтс заявіў, што з моманту яго стварэння ў 2020 годзе было праведзена некалькі аўдытаў бяспекі, ні адзін з якіх не выявіў гэтай уразлівасці.
Як адбыўся напад
Кансультатыўная група па бяспецы General Bytes заявіла ў блогу, што хакеры правялі атаку ўразлівасці нулявога дня, каб атрымаць доступ да Crypto Application Server (CAS) кампаніі і атрымаць сродкі.
Сервер CAS кіруе ўсёй працай банкамата, якая ўключае ў сябе куплю і продаж крыпты на біржах і манеты, якія падтрымліваюцца.
Кампанія лічыць, што хакеры «прасканавалі адкрытыя серверы, якія працуюць на партах TCP 7777 або 443, у тым ліку серверы, размешчаныя на ўласным воблачным сэрвісе General Bytes».
Адтуль хакеры дадалі сябе ў якасці адміністратара па змаўчанні ў CAS пад назвай «gb», а затым перайшлі да змены налад «купля» і «продаж» такім чынам, што любая крыпта, атрыманая біткойн-банкаматам, замест гэтага будзе перададзена ў хакерскі адрас кашалька:
«Зламыснік змог дыстанцыйна стварыць карыстальніка адміністратара праз адміністрацыйны інтэрфейс CAS праз URL-выклік на старонцы, якая выкарыстоўваецца для ўстаноўкі па змаўчанні на серверы і стварэння першага карыстальніка адміністравання».
Крыніца: https://cointelegraph.com/news/hackers-exploit-zero-day-bug-to-steal-from-general-bytes-bitcoin-atms