Серверы производителя биткойн-банкоматов General Bytes были скомпрометированы в результате атаки нулевого дня 18 августа, что позволило хакерам сделать себя администраторами по умолчанию и изменить настройки, чтобы все средства переводились на адрес их кошелька.
Сумма украденных средств и количество скомпрометированных банкоматов не разглашаются, но компания настоятельно рекомендовала операторам банкоматов обновить свое программное обеспечение.
Взлом был подтвержден компанией General Bytes 18 августа, которая владеет и управляет 8827 биткойн-банкоматами, доступными в более чем 120 странах. Штаб-квартира компании находится в Праге, Чешская Республика, где также производятся банкоматы. Клиенты банкомата могут купить или продать более 40 монет.
Уязвимость присутствует с тех пор, как хакерские модификации обновили программное обеспечение CAS до версии 20201208 18 августа.
Компания General Bytes призвала клиентов воздержаться от использования своих серверов банкоматов General Bytes до тех пор, пока они не обновят свой сервер до выпуска исправлений 20220725.22 и 20220531.38 для клиентов, работающих на 20220531.
Клиентам также было рекомендовано изменить настройки брандмауэра своего сервера, чтобы доступ к интерфейсу администратора CAS был возможен только с авторизованных IP-адресов, среди прочего.
Перед повторной активацией терминалов General Bytes также напомнил клиентам проверить свои «настройки SELL Crypto», чтобы убедиться, что хакеры не изменили настройки таким образом, что вместо этого любые полученные средства будут переведены им (а не клиентам).
General Bytes заявила, что с момента ее создания в 2020 году было проведено несколько проверок безопасности, ни одна из которых не выявила эту уязвимость.
Как произошло нападение
Консультативная группа General Bytes по безопасности заявила в блоге, что хакеры провели атаку уязвимости нулевого дня, чтобы получить доступ к серверу криптографических приложений (CAS) компании и извлечь средства.
Сервер CAS управляет всей операцией банкомата, включая выполнение покупки и продажи криптовалюты на биржах и поддерживаемых монет.
Связанный: Уязвимость: Kraken показывает, что многие биткойн-банкоматы в США по-прежнему используют QR-коды администратора по умолчанию
Компания считает, что хакеры «просканировали открытые серверы, работающие на TCP-портах 7777 или 443, включая серверы, размещенные в собственном облачном сервисе General Bytes».
Оттуда хакеры добавили себя в качестве администратора по умолчанию в CAS с именем «gb», а затем продолжили изменять настройки «покупки» и «продажи», чтобы любая криптовалюта, полученная биткойн-банкоматом, вместо этого была передана хакеру. адрес кошелька:
«Злоумышленник смог создать пользователя-администратора удаленно через административный интерфейс CAS, вызвав URL-адрес на странице, которая используется для установки по умолчанию на сервере и создания первого пользователя-администратора».
Источник: Сointеlеgrаph