Bitcoin(BTC)$113,090.00-2.60%
Ethereum(ETH)$3,462.75-6.81%
XRP(XRP)$2.92-3.68%
Tether(USDT)$1.00-0.03%
BNB(BNB)$750.24-5.00%
Solana(SOL)$161.20-6.87%
USDC(USDC)$1.000.00%
Lido Staked Ether(STETH)$3,458.55-6.87%
TRON(TRX)$0.321927-1.13%
Dogecoin(DOGE)$0.198382-6.16%
Хакери використовують помилку нульового дня для крадіжки з банкоматів General Bytes Bitcoin
Сервери виробника біткойн-банкоматів General Bytes були скомпрометовані через атаку нульового дня 18 серпня, яка дозволила хакерам зробити себе адміністраторами за замовчуванням і змінити налаштування так, щоб усі кошти переказувалися на адресу їхнього гаманця.
Сума вкрадених коштів і кількість зламаних банкоматів не розголошується, але компанія терміново порадила операторам банкоматів оновити своє програмне забезпечення.
Злом був підтверджено General Bytes 18 серпня, яка володіє та керує 8827 біткойн-банкоматами, які доступні в понад 120 країнах. Штаб-квартира компанії знаходиться в Празі, Чеська Республіка, де також виробляються банкомати. Клієнти банкоматів можуть купити або продати понад 40 монет.
Уразливість з’явилася з моменту оновлення програмного забезпечення CAS до версії 20201208 18 серпня.
General Bytes закликає клієнтів утримуватися від використання своїх серверів банкоматів General Bytes, доки вони не оновлять свій сервер до випуску виправлень 20220725.22 і 20220531.38 для клієнтів, які працюють на 20220531.
Клієнтам також рекомендовано змінити налаштування брандмауера свого сервера таким чином, щоб доступ до інтерфейсу адміністратора CAS був доступний лише з авторизованих IP-адрес, серед іншого.
Перед повторною активацією терміналів General Bytes також нагадав клієнтам перевірити свої «Налаштування SELL Crypto», щоб переконатися, що хакери не змінили налаштування таким чином, щоб усі отримані кошти натомість переказувалися їм (а не клієнтам).
General Bytes заявив, що з моменту створення в 2020 році було проведено кілька перевірок безпеки, жоден з яких не виявив цю вразливість.
Як стався напад
Консультативна група з питань безпеки General Bytes заявила в блозі, що хакери провели атаку на вразливість нульового дня, щоб отримати доступ до Crypto Application Server (CAS) компанії та витягти кошти.
Сервер CAS керує всією роботою банкомату, яка включає виконання купівлі та продажу криптовалюти на біржах і які монети підтримуються.
Компанія вважає, що хакери «просканували відкриті сервери, що працюють на TCP-портах 7777 або 443, включаючи сервери, розміщені на власній хмарній службі General Bytes».
Звідти хакери додали себе як адміністратора за замовчуванням у CAS під назвою «gb», а потім продовжили змінювати налаштування «купівлі» та «продажу» таким чином, щоб будь-яка криптовалюта, отримана біткойн-банкоматом, натомість передавалася на хакерський адреса гаманця:
«Зловмисник зміг віддалено створити користувача адміністратора через адміністративний інтерфейс CAS за допомогою виклику URL-адреси на сторінці, яка використовується для встановлення за замовчуванням на сервері та створення першого користувача адміністратора».
