Хакеры выкарысталі ўразлівасць нулявога дня на серверах банкаматаў General Bytes Bitcoin, што дазваляе ім красці крыптавалюту ў кліентаў, якія куплялі або ўносілі біткойны праз гэтыя банкаматы.
Хакеры выкарыстоўваюць банкаматы General Bytes Bitcoin для крадзяжу сродкаў
Серверы кампаніі General Bytes, вытворцы біткойн-банкаматаў, былі ўзламаныя 18 жніўня эксплойтам нулявога дня, што дазволіла хакерам зрабіць сябе адміністратарамі па змаўчанні і наладзіць параметры такім чынам, каб усе сродкі пераводзіліся на адрас іх кашалька.
Сума скрадзеных грошай і колькасць пацярпелых банкаматаў не паведамляюцца; аднак кампанія заклікала аператараў банкаматаў неадкладна абнаўляць сваё праграмнае забеспячэнне.
Узлом быў пацверджаны 18 жніўня кампаніяй General Bytes, якая валодае і кіруе 8827 біткойн-банкаматамі ў больш чым 120 краінах. Штаб-кватэра кампаніі знаходзіцца ў Празе, Чэхія, дзе таксама вырабляюцца банкаматы. Кліенты, якія карыстаюцца банкаматамі, могуць купіць або прадаць больш за 40 манет.
Уразлівасць існуе з 18 жніўня, калі хакерскія змены абнавілі праграмнае забеспячэнне CAS да версіі 20201208.
Кліентам рэкамендавана не выкарыстоўваць свае серверы банкаматаў General Bytes, пакуль іх серверы не будуць абноўлены да выпускаў выпраўленняў 20220725.22 і 20220531.38 для кліентаў, якія працуюць на 20220531.
Кліентам таксама было прапанавана змяніць канфігурацыі брандмаўэра сервера так, каб інтэрфейс адміністратара CAS быў даступны толькі з аўтарызаваных IP-адрасоў.
General Bytes таксама папярэдзіў кліентаў праглядзець свае «Настройкі SELL Crypto» перад перазагрузкай тэрміналаў, каб пераканацца, што хакеры не змянілі налады так, што атрыманыя сродкі будуць адпраўлены ім (а не кліентам).
З моманту свайго стварэння ў 2020 годзе General Bytes прайшоў некалькі аўдытаў бяспекі, ні адзін з якіх не выявіў гэтай уразлівасці.
Хакеры выкарыстоўваюць уразлівасць нулявога дня ў CAS
Па словах кансультатыўнай групы па бяспецы General Bytes, хакеры выкарыстоўвалі эксплойт уразлівасці нулявога дня, каб атрымаць доступ да Crypto Application Server (CAS) кампаніі і перацягнуць сродкі.
Сервер CAS кіруе ўсёй працай банкамата, уключаючы куплю і продаж крыпты на біржах і манеты, якія падтрымліваюцца.
Па дадзеных кампаніі, хакеры «правяраецца на наяўнасць адкрытых сервераў, якія працуюць на партах TCP 7777 або 443, у тым ліку сервераў, размешчаных ва ўласным воблачным сэрвісе General Bytes».
Затым хакеры зарэгістравалі сябе ў якасці адміністратара па змаўчанні ў CAS, назваўшы сябе gb, а затым змянілі налады «купляць» і «прадаваць» такім чынам, каб любая крыптавалюта, атрыманая біткойн-банкаматам, замест гэтага перадавалася на адрас кашалька хакера:
Зламыснік змог дыстанцыйна стварыць карыстальніка-адміністратара праз адміністрацыйны інтэрфейс CAS праз URL-выклік на старонцы, якая выкарыстоўваецца для ўстаноўкі па змаўчанні на серверы і стварэння першага карыстальніка-адміністратара.
У мінулым годзе крыптабіржа Kraken апублікавала справаздачу сваёй каманды Security Labs, у якой сцвярджалася, што ў серыі банкаматаў General Bytes BATMTwo ёсць «некалькі апаратных і праграмных уразлівасцяў». Кракен заявіў, што калі зламыснікі атрымаюць доступ да інструмента адміністравання, яны могуць скампраметаваць любы біткойн-банкамат, да якога яны падыдуць.
Пасля таго, як Kraken раскрыў уразлівасці, General Bytes выпусціў папярэджанне сваім карыстальнікам.
Крыніца: https://crypto.news/hackers-steal-crypto-from-general-bytes-bitcoin-atms/