В то время как криптовалюты постепенно становятся мейнстримом, несмотря на разногласия, производитель биткойн- и криптовалютных банкоматов под названием General Bytes объявил , что их машины были взломаны. Атаки были успешными благодаря уязвимости в Crypto Application Server.
Создание учетных записей администратора
Crypto Application Server — это браузерный интерфейс управления системами BATM (Bitcoin ATM). Злоумышленники нашли способ создать пользователя уровня администратора с интерфейсом CAS через вызов URL на странице. Эта страница используется для установки по умолчанию и создания первого пользователя с правами администратора. Используя уязвимость нулевого дня, злоумышленники выполнили следующие шаги:
- Злоумышленник просканировал пространство IP-адресов облачного хостинга Digital Ocean и обнаружил работающие службы CAS на портах 7777 или 443. Включая облачную службу General Bytes и других операторов банкоматов Великобритании, использующих свои серверы, поскольку Digital Ocean является рекомендуемым провайдером облачного хостинга.
- Используя эту уязвимость в системе безопасности, злоумышленник создал нового администратора, организацию и терминал по умолчанию.
- Злоумышленник получил доступ к интерфейсу CAS и переименовал пользователя-администратора по умолчанию в «gb».
- Злоумышленник изменил криптографические настройки двухсторонних машин с настройками своего кошелька и настройкой «недействительный платежный адрес».
- Двусторонние банкоматы начали пересылать монеты на кошелек злоумышленника, когда клиенты отправляли монеты в банкоматы.
Карел Киовский, владелец General Bytes, заявил, что с 2020 года они провели несколько проверок безопасности, однако ни одному из них не удалось выявить эту уязвимость.
В настоящее время нет информации о количестве украденной криптовалюты. Компания призывает своих клиентов немедленно обновить программное обеспечение CAS, а также сделать порты TCP 7777 и 443 недоступными для неизвестных IP-адресов путем перенастройки параметров брандмауэра.