黑客利用 General Bytes 比特币 ATM 服务器中的零日漏洞从客户那里窃取加密货币。
当客户通过 ATM 存入或购买加密货币时,资金将被黑客吸走
General Bytes 是比特币 ATM 的制造商,根据产品的不同,它允许人们购买或出售 40 多种不同的加密货币。
比特币 ATM 由远程 加密应用服务器 (CAS) 控制,该服务器管理 ATM 的操作、支持哪些加密货币,并在交易所执行加密货币的购买和销售。
黑客利用 CAS 零日漏洞
昨天,General Bytes 的一位客户联系了 BleepingComputer,他告诉我们黑客正在从他们的 ATM 中窃取比特币。
根据 8 月 18 日发布的 General Bytes 安全公告,攻击是利用该公司加密应用服务器 (CAS) 中的零日漏洞进行的。
“攻击者能够通过 CAS 管理界面通过页面上的 URL 调用远程创建管理员用户,该页面用于服务器上的默认安装并创建第一个管理用户,”General Bytes 公告中写道。
“此漏洞自 20201208 版本以来一直存在于 CAS 软件中。”
General Bytes 认为,攻击者扫描互联网以查找在 TCP 端口 7777 或 443 上运行的暴露服务器,包括托管在 Digital Ocean 和 General Bytes 自己的云服务上的服务器。
然后,攻击者利用该漏洞将名为“gb”的默认管理员用户添加到 CAS,并修改了“购买”和“出售”加密设置以及“无效支付地址”,以使用黑客控制下的加密货币钱包。
一旦威胁行为者修改了这些设置,CAS 收到的任何加密货币都会转而转发给黑客。
“当客户将硬币发送到 ATM 时,双向 ATM 开始将硬币转发到攻击者的钱包,”安全咨询解释说。
General Bytes 警告客户在他们的服务器上应用两个服务器补丁版本 20220531.38 和 20220725.22 之前不要操作他们的比特币 ATM。
他们还提供了 在设备重新投入使用之前在设备上执行的步骤清单。
重要的是要记住,如果服务器被防火墙仅允许来自受信任的 IP 地址的连接,则威胁参与者将无法执行这些攻击。
因此,将防火墙配置 为仅允许从受信任的 IP 地址(例如 ATM 位置或客户办公室)访问 Crypto Application Server至关重要 。
根据 BinaryEdge提供的信息,目前仍有 18 个通用字节加密应用服务器暴露在互联网上,其中大部分位于加拿大。
目前尚不清楚有多少服务器被此漏洞破坏,以及有多少加密货币被盗。
BleepingComputer 昨天联系了 General Bytes,询问有关这次攻击的更多问题,但没有收到回复。
