Peretas mengeksploitasi bug zero day untuk mencuri dari ATM General Bytes Bitcoin

Produsen ATM Bitcoin, General Bytes, membuat servernya dikompromikan melalui serangan zero-day pada 18 Agustus, yang memungkinkan para peretas menjadikan diri mereka sebagai admin default dan mengubah pengaturan sehingga semua dana akan ditransfer ke alamat dompet mereka.

Jumlah dana yang dicuri dan jumlah ATM yang disusupi belum diungkapkan tetapi perusahaan telah mendesak operator ATM untuk memperbarui perangkat lunak mereka.

Peretasan itudikonfirmasi oleh General Bytes pada 18 Agustus, yang memiliki dan mengoperasikan 8827 ATM Bitcoin yang dapat diakses di lebih dari 120 negara. Perusahaan ini berkantor pusat di Praha, Republik Ceko, yang juga merupakan tempat pembuatan ATM. Pelanggan ATM dapat membeli atau menjual lebih dari 40 koin.

Kerentanan telah hadir sejak modifikasi peretas memperbarui perangkat lunak CAS ke versi 20201208 pada 18 Agustus.

General Bytes telah mendesak pelanggan untuk tidak menggunakan server ATM General Bytes mereka sampai mereka memperbarui server mereka ke rilis patch 20220725.22, dan 20220531.38 untuk pelanggan yang menjalankan 20220531.

Pelanggan juga disarankan untuk mengubah pengaturan firewall server mereka sehingga antara lain antarmuka admin CAS hanya dapat diakses dari alamat IP resmi.

Sebelum mengaktifkan kembali terminal, General Bytes juga mengingatkan pelanggan untuk meninjau 'Pengaturan JUAL Kripto' mereka untuk memastikan bahwa peretas tidak mengubah pengaturan sehingga dana yang diterima akan ditransfer ke mereka (dan bukan pelanggan).

General Bytes menyatakan bahwa beberapa audit keamanan telah dilakukan sejak awal tahun 2020, tidak ada yang mengidentifikasi kerentanan ini.

Bagaimana serangan itu terjadi

Tim penasihat keamanan General Bytes menyatakan di blog bahwa peretas melakukan serangan kerentanan zero-day untuk mendapatkan akses ke Crypto Application Server (CAS) perusahaan dan mengekstrak dana.

Server CAS mengelola seluruh operasi ATM, termasuk pelaksanaan pembelian dan penjualan crypto di bursa dan koin mana yang didukung.

Terkait:Rentan: Kraken mengungkapkan banyak ATM Bitcoin AS masih menggunakan kode QR admin default

Perusahaan percaya para peretas "memindai server terbuka yang berjalan pada port TCP 7777 atau 443, termasuk server yang dihosting di layanan cloud General Bytes sendiri."

Dari sana, para peretas menambahkan diri mereka sebagai admin default di CAS, bernama 'gb', dan kemudian melanjutkan untuk memodifikasi pengaturan 'beli' dan 'jual' sehingga setiap kripto yang diterima oleh ATM Bitcoin malah akan ditransfer ke milik peretas. alamat dompet:

"Penyerang dapat membuat pengguna admin dari jarak jauh melalui antarmuka administratif CAS melalui panggilan URL pada laman yang digunakan untuk penginstalan default di server dan membuat pengguna administrasi pertama."