Кампанія General Bytes, тройка найбуйнейшых у свеце вытворцаў банкаматаў для криптовалют, пацвердзіла, што яе банкаматы былі ўзламаныя з дапамогай уразлівасць нулявога дня ў партах сервера для крадзяжу крыптавалют у кліентаў.
General Bytes кіруе больш чым 8,000 біткойн-банкаматамі ў больш чым 120 краінах і рэгіёнах, што дазваляе людзям купляць або прадаваць больш за 40 розных крыптавалют.
Кампанія сцвярджала, што хакеры выявілі ўразлівасць нулявога дня ў серверы крыптапрыкладанняў кампаніі (CAS), дазваляючы аддаленым аперацыям атрымліваць прывілеі адміністратара, тым самым змяняючы адрас кашалька атрымальніка і дазваляючы кліентам атрымліваць скрадзеныя грошы пры куплі і продажы крыптавалют.
За нулявым днём, таксама вядомым як «0-дзень», ідуць розныя сітуацыі, такія як «уразлівасць, эксплойт або атака», а таксама зеро-дзень, які адносіцца да ўразлівасці, якую выкарыстоўваюць хакеры і якая яшчэ не была выпраўлена ў зыходны код.
Згодна з нататкамі аб абнаўленні версіі, апублікаванымі General Bytes 18-га, растлумачана, што:
«Зламыснік змог дыстанцыйна стварыць карыстальніка адміністратара праз адміністрацыйны інтэрфейс CAS праз URL-выклік на старонцы, якая выкарыстоўваецца для ўстаноўкі па змаўчанні на серверы і стварэння першага карыстальніка адміністравання».
Хакеры выявілі ўразлівасці сервера хмарнага хостынгу Digital Ocean, прасканаваўшы порт TCP 7777 або 433 у сетцы, стварыўшы карыстальніка адміністратара па змаўчанні з імем «gb» і дадаўшы яго да ўласнага Crypto Applicate Server (CAS) кампаніі.
Пасля гэтага карыстальнік можа дыстанцыйна ўносіць змены ў прадусталяваныя «купля», «продаж», «няправільны адрас транзакцыі» і іншыя пазіцыі кашалька ў банкамаце і чакаць, пакуль трэйдар запусціць банкамат, каб перавесці крыптавалюту, якая затым будзе пераведзены на кашалёк хакера.
У цяперашні час кампанія не раскрывае канкрэтную суму скрадзеных грошай і колькасць скрадзеных банкаматаў і выпраўленых уразлівасцяў сервераў аператыўна.
Згодна з бюлетэнем бяспекі, адпаведная ўразлівасць прысутнічае ў праграмным забеспячэнні CAS з версіі 20201208.
Крыніца выявы: Shutterstock
Крыніца: https://blockchain.news/news/hackers-steal-cryptos-from-general-bytes-bitcoin-atm-via-zero-day-bug