يستغل المتسللون خطأ يوم الصفر للسرقة من أجهزة الصراف الآلي للبيتكوين General Bytes

تعرضت خوادم شركة General Bytes المُصنّعة لأجهزة Bitcoin ATM للاختراق عبر هجوم لمدة يوم واحد في 18 أغسطس ، مما مكن المتسللين من جعل أنفسهم المشرفين الافتراضيين وتعديل الإعدادات بحيث يتم تحويل جميع الأموال إلى عنوان محفظتهم.

لم يتم الكشف عن حجم الأموال المسروقة وعدد أجهزة الصراف الآلي المخترقة ، لكن الشركة نصحت مشغلي أجهزة الصراف الآلي على وجه السرعة بتحديث برامجهم.

كان الاختراقمؤكد بواسطة General Bytes في 18 أغسطس ، التي تمتلك وتدير 8827 جهاز صراف آلي بيتكوين يمكن الوصول إليها في أكثر من 120 دولة. يقع المقر الرئيسي للشركة في براغ ، جمهورية التشيك ، حيث يتم تصنيع أجهزة الصراف الآلي أيضًا. يمكن لعملاء أجهزة الصراف الآلي شراء أو بيع أكثر من 40 قطعة نقدية.

كانت الثغرة الأمنية موجودة منذ أن قامت تعديلات المخترق بتحديث برنامج CAS إلى الإصدار 20201208 في 18 أغسطس.

حثت شركة General Bytes العملاء على الامتناع عن استخدام خوادم General Bytes ATM الخاصة بهم حتى يقوموا بتحديث خادمهم لتصحيح الإصدار 20220725.22 و 20220531.38 للعملاء الذين يعملون على 20220531.

تم نصح العملاء أيضًا بتعديل إعدادات جدار حماية الخادم بحيث لا يمكن الوصول إلى واجهة إدارة CAS إلا من عناوين IP المصرح بها ، من بين أشياء أخرى.

قبل إعادة تنشيط المحطات الطرفية ، قامت General Bytes أيضًا بتذكير العملاء بمراجعة "SELL Crypto Setting" للتأكد من أن المتسللين لم يعدلوا الإعدادات بحيث يتم بدلاً من ذلك تحويل أي أموال مستلمة إليهم (وليس العملاء).

ذكرت General Bytes أنه تم إجراء العديد من عمليات تدقيق الأمان منذ إنشائها في عام 2020 ، ولم يحدد أي منها هذه الثغرة الأمنية.

كيف وقع الهجوم

صرح الفريق الاستشاري الأمني لشركة General Bytes في المدونة أن المتسللين نفذوا هجومًا لنقاط الضعف في اليوم صفر للوصول إلى خادم Crypto Application Server (CAS) الخاص بالشركة واستخراج الأموال.

يدير خادم CAS عملية ATM بالكامل ، والتي تتضمن تنفيذ شراء وبيع العملات المشفرة في البورصات وأي العملات يتم دعمها.

متعلق ب:ضعيف: يكشف موقع Kraken عن أن العديد من أجهزة الصراف الآلي للبيتكوين الأمريكية لا تزال تستخدم رموز QR الافتراضية للمشرف

تعتقد الشركة أن المتسللين "تم فحصهم بحثًا عن خوادم مكشوفة تعمل على منافذ TCP 7777 أو 443 ، بما في ذلك الخوادم المستضافة على خدمة السحابة الخاصة بشركة General Bytes."

من هناك ، أضاف المتسللون أنفسهم كمسؤول افتراضي على CAS ، باسم "gb" ، ثم تابعوا تعديل إعدادات "الشراء" و "البيع" بحيث يتم نقل أي تشفير تتلقاها أجهزة الصراف الآلي للبيتكوين إلى المتسلل. عنوان المحفظة:

& quot؛ تمكن المهاجم من إنشاء مستخدم مسؤول عن بعد عبر واجهة CAS الإدارية عبر استدعاء URL على الصفحة المستخدمة للتثبيت الافتراضي على الخادم وإنشاء أول مستخدم إداري. & quot؛