ハッカーがゼロデイ バグを悪用して General Bytes ビットコイン ATM から盗む

ビットコイン ATM メーカーである General Bytes は、8 月 18 日にゼロデイ攻撃によってサーバーが侵害されました。これにより、ハッカーは自分自身をデフォルトの管理者にし、すべての資金が自分のウォレット アドレスに転送されるように設定を変更することができました。

盗まれた金額と侵害された ATM の数は明らかにされていませんが、同社は ATM オペレーターにソフトウェアを更新するよう緊急にアドバイスしています。

ハックは確認済み 120カ国以上でアクセス可能な8827台のビットコインATMを所有・運営するGeneral Bytesによる8月18日。同社はチェコ共和国のプラハに本社を置き、ATM の製造場所でもあります。 ATM の顧客は、40 を超えるコインを売買できます。

この脆弱性は、ハッカーの修正により 8 月 18 日に CAS ソフトウェアがバージョン 20201208 に更新されて以来存在しています。

General Bytes は、20220531 を実行している顧客向けに、サーバーをパッチ リリース 20220725.22 および 20220531.38 に更新するまで、General Bytes ATM サーバーの使用を控えるよう顧客に促しています。

また、サーバーのファイアウォール設定を変更して、認証された IP アドレスからのみ CAS 管理インターフェイスにアクセスできるようにすることもお勧めします。

端末を再アクティブ化する前に、General Bytes は顧客に「暗号通貨の販売設定」を確認して、受け取った資金が代わりに (顧客ではなく) 送金されるようにハッカーが設定を変更していないことを確認するように促しました。

General Bytes は、2020 年の開始以来、いくつかのセキュリティ監査が実施されたと述べていますが、いずれもこの脆弱性を特定していません。

攻撃はどのように行われたか

General Bytes のセキュリティ アドバイザリー チームはブログで、ハッカーが同社の Crypto Application Server (CAS) にアクセスして資金を引き出すためにゼロデイ脆弱性攻撃を行ったと述べています。

CAS サーバーは、取引所での仮想通貨の売買の実行や、どのコインがサポートされているかなど、ATM の操作全体を管理します。

関連している：脆弱性: Kraken は、多くの米国のビットコイン ATM がまだデフォルトの管理 QR コードを使用していることを明らかにしました

同社は、ハッカーが「General Bytes 自身のクラウド サービスでホストされているサーバーを含め、TCP ポート 7777 または 443 で実行されている公開されたサーバーをスキャンした」と考えています。

そこから、ハッカーは CAS に「gb」という名前のデフォルト管理者として自分自身を追加し、「購入」と「販売」の設定を変更して、ビットコイン ATM で受け取った暗号が代わりにハッカーの管理者に転送されるようにしました。ウォレットアドレス:

「攻撃者は、サーバーへのデフォルトのインストールと最初の管理ユーザーの作成に使用されるページの URL 呼び出しを介して、CAS 管理インターフェースを介してリモートで管理ユーザーを作成することができました。」