Хакеры используют ошибку нулевого дня для кражи из биткоин-банкоматов General Bytes

Производитель биткоин-банкоматов General Bytes 18 августа подверг свои серверы атаке нулевого дня, которая позволила хакерам сделать себя администраторами по умолчанию и изменить настройки таким образом, чтобы все средства переводились на адрес их кошелька.

Сумма похищенных средств и количество взломанных банкоматов не разглашаются, но компания настоятельно рекомендовала операторам банкоматов обновить свое программное обеспечение.

Факт взлома был подтвержден 18 августа компанией General Bytes, которая владеет и управляет 8827 биткоин-банкоматами, доступными в более чем 120 странах. Штаб-квартира компании находится в Праге, Чешская Республика, где также производятся банкоматы. Клиенты банкоматов могут купить или продать более 40 монет.

Уязвимость присутствует с тех пор, как 18 августа хакерские модификации обновили программное обеспечение CAS до версии 20201208.

Компания General Bytes призвала клиентов воздержаться от использования серверов банкоматов General Bytes до тех пор, пока они не обновят свой сервер до патча версии 20220725.22 и 20220531.38 для клиентов, работающих на 20220531.

Клиентам также рекомендовано изменить настройки брандмауэра сервера таким образом, чтобы доступ к интерфейсу администратора CAS осуществлялся только с авторизованных IP-адресов.

Перед повторной активацией терминалов General Bytes также напомнила клиентам о необходимости пересмотреть настройки «SELL Crypto Setting», чтобы убедиться, что хакеры не изменили настройки таким образом, что все полученные средства будут переведены им (а не клиентам).

General Bytes заявила, что с момента ее основания в 2020 году было проведено несколько аудитов безопасности, ни один из которых не выявил этой уязвимости.

Как произошла атака

Команда консультантов по безопасности General Bytes заявила в блоге, что хакеры провели атаку на уязвимость нулевого дня, чтобы получить доступ к серверу криптоприложений (CAS) компании и извлечь средства.

Сервер CAS управляет всей работой банкомата, которая включает в себя выполнение покупки и продажи криптовалют на биржах и то, какие монеты поддерживаются.

Компания считает, что хакеры «просканировали открытые серверы, работающие на TCP-портах 7777 или 443, включая серверы, размещенные на собственном облачном сервисе General Bytes».

После этого хакеры добавили себя в качестве администратора по умолчанию на CAS под именем gb, а затем изменили настройки «купить» и «продать» таким образом, чтобы любая криптовалюта, полученная банкоматом Bitcoin, переводилась на адрес кошелька хакера:

«Злоумышленник смог создать пользователя-администратора удаленно через административный интерфейс CAS через вызов URL на странице, которая используется для установки по умолчанию на сервер и создания первого пользователя-администратора.»