Tin tặc khai thác lỗi zero day để đánh cắp từ các máy ATM Bitcoin của General Bytes

Nhà sản xuất máy ATM bitcoin General Bytes đã khiến các máy chủ của họ bị xâm phạm thông qua cuộc tấn công zero-day vào ngày 18 tháng 8, cho phép tin tặc tự đặt mình làm quản trị viên mặc định và sửa đổi cài đặt để tất cả tiền sẽ được chuyển đến địa chỉ ví của chúng.

Số tiền bị đánh cắp và số lượng máy ATM bị xâm nhập chưa được tiết lộ nhưng công ty đã khẩn trương khuyến cáo các nhà khai thác ATM cập nhật phần mềm của họ.

vụ hack làđã xác nhận bởi General Bytes vào ngày 18 tháng 8, công ty sở hữu và vận hành 8827 máy ATM Bitcoin có thể truy cập được ở hơn 120 quốc gia. Công ty có trụ sở chính tại Praha, Cộng hòa Séc, cũng là nơi sản xuất máy ATM. Khách hàng ATM có thể mua hoặc bán hơn 40 xu.

Lỗ hổng xuất hiện kể từ khi các sửa đổi của tin tặc cập nhật phần mềm CAS lên phiên bản 20201208 vào ngày 18 tháng 8.

General Bytes đã kêu gọi khách hàng hạn chế sử dụng máy chủ ATM của General Bytes cho đến khi họ cập nhật máy chủ của mình để phát hành bản vá 20220725.22 và 20220531.38 cho khách hàng chạy trên 20220531.

Khách hàng cũng được khuyên nên sửa đổi cài đặt tường lửa máy chủ của mình để giao diện quản trị CAS chỉ có thể được truy cập từ các địa chỉ IP được ủy quyền, trong số những thứ khác.

Trước khi kích hoạt lại các thiết bị đầu cuối, General Bytes cũng nhắc nhở khách hàng xem lại 'Cài đặt BÁN tiền điện tử' của họ để đảm bảo rằng tin tặc không sửa đổi cài đặt sao cho mọi khoản tiền nhận được sẽ được chuyển cho họ (chứ không phải khách hàng).

General Bytes tuyên bố rằng một số cuộc kiểm tra bảo mật đã được thực hiện kể từ khi bắt đầu vào năm 2020, không cuộc kiểm tra nào xác định được lỗ hổng này.

Cuộc tấn công diễn ra như thế nào

Nhóm cố vấn bảo mật của General Bytes đã tuyên bố trên blog rằng các tin tặc đã tiến hành một cuộc tấn công bằng lỗ hổng zero-day để giành quyền truy cập vào Máy chủ ứng dụng tiền điện tử (CAS) của công ty và trích xuất tiền.

Máy chủ CAS quản lý toàn bộ hoạt động của ATM, bao gồm việc thực hiện mua và bán tiền điện tử trên các sàn giao dịch và loại tiền nào được hỗ trợ.

Có liên quan:Dễ bị tổn thương: Kraken tiết lộ nhiều máy ATM Bitcoin của Hoa Kỳ vẫn sử dụng mã QR quản trị viên mặc định

Công ty tin rằng tin tặc “đã quét các máy chủ bị lộ chạy trên các cổng TCP 7777 hoặc 443, bao gồm cả các máy chủ được lưu trữ trên dịch vụ đám mây của chính General Bytes”.

Từ đó, tin tặc tự thêm mình làm quản trị viên mặc định trên CAS, có tên là 'gb', sau đó tiến hành sửa đổi cài đặt 'mua' và 'bán' sao cho mọi loại tiền điện tử mà ATM Bitcoin nhận được thay vào đó sẽ được chuyển đến tài khoản của tin tặc. địa chỉ ví:

"Kẻ tấn công có thể tạo người dùng quản trị từ xa qua giao diện quản trị CAS thông qua lệnh gọi URL trên trang được sử dụng để cài đặt mặc định trên máy chủ và tạo người dùng quản trị đầu tiên."