Le fabricant de guichets automatiques Bitcoin General Bytes a vu ses serveurs compromis via une attaque zero-day le 18 août, ce qui a permis aux pirates de se faire les administrateurs par défaut et de modifier les paramètres afin que tous les fonds soient transférés à leur adresse de portefeuille.
Le montant des fonds volés et le nombre de guichets automatiques compromis n’ont pas été divulgués, mais la société a conseillé d’urgence aux opérateurs de guichets automatiques de mettre à jour leur logiciel.
Le hack était confirmé par General Bytes le 18 août, qui possède et exploite 8827 guichets automatiques Bitcoin accessibles dans plus de 120 pays. La société a son siège social à Prague, en République tchèque, où sont également fabriqués les guichets automatiques. Les clients des guichets automatiques peuvent acheter ou vendre plus de 40 pièces.
La vulnérabilité est présente depuis que les modifications du pirate ont mis à jour le logiciel CAS vers la version 20201208 le 18 août.
General Bytes a exhorté les clients à s’abstenir d’utiliser leurs serveurs ATM General Bytes jusqu’à ce qu’ils mettent à jour leur serveur avec la version de correctif 20220725.22 et 20220531.38 pour les clients exécutant sur 20220531.
Les clients ont également été invités à modifier les paramètres de pare-feu de leur serveur afin que l’interface d’administration CAS ne soit accessible qu’à partir d’adresses IP autorisées, entre autres.
Avant de réactiver les terminaux, General Bytes a également rappelé aux clients de revoir leur “SELL Crypto Setting” pour s’assurer que les pirates n’ont pas modifié les paramètres de sorte que tous les fonds reçus leur seraient plutôt transférés (et non aux clients).
General Bytes a déclaré que plusieurs audits de sécurité avaient été menés depuis sa création en 2020, dont aucun n’a identifié cette vulnérabilité.
Comment l’attaque s’est-elle produite
L’équipe de conseil en sécurité de General Bytes a déclaré dans le blog que les pirates avaient mené une attaque de vulnérabilité zero-day pour accéder au Crypto Application Server (CAS) de l’entreprise et extraire les fonds.
Le serveur CAS gère l’ensemble des opérations du guichet automatique, qui comprend l’exécution de l’achat et de la vente de crypto sur les bourses et les pièces prises en charge.
Lié: Vulnérable: Kraken révèle que de nombreux guichets automatiques Bitcoin américains utilisent toujours des codes QR d’administration par défaut
La société pense que les pirates “ont recherché des serveurs exposés fonctionnant sur les ports TCP 7777 ou 443, y compris des serveurs hébergés sur le propre service cloud de General Bytes”.
À partir de là, les pirates se sont ajoutés en tant qu’administrateur par défaut sur le CAS, nommé “gb”, puis ont procédé à la modification des paramètres “acheter” et “vendre” de sorte que toute crypto reçue par le guichet automatique Bitcoin soit plutôt transférée au pirate. adresse du portefeuille :
“L’attaquant a pu créer un utilisateur administrateur à distance via l’interface d’administration CAS via un appel d’URL sur la page utilisée pour l’installation par défaut sur le serveur et créer le premier utilisateur d’administration.”
