Le fabricant de guichets automatiques Bitcoin General Bytes a vu ses serveurs compromis via une attaque zero-day le 18 août, ce qui a permis aux pirates de se faire les administrateurs par défaut et de modifier les paramètres afin que tous les fonds soient transférés à leur adresse de portefeuille.
Le montant des fonds volés et le nombre de guichets automatiques compromis n’ont pas été divulgués, mais la société a conseillé de toute urgence aux opérateurs de guichets automatiques de mettre à jour leur logiciel.
Le piratage a été confirmé par General Bytes le 18 août, qui possède et exploite 8 827 guichets automatiques Bitcoin accessibles dans plus de 120 pays. La société a son siège social à Prague, en République tchèque, où des distributeurs automatiques de billets sont également fabriqués. Les clients des guichets automatiques peuvent acheter ou vendre plus de 40 pièces.
La vulnérabilité est présente depuis que les modifications apportées par les pirates ont mis à jour le logiciel CAS vers la version 20201208 le 18 août.
General Bytes a exhorté les clients à s’abstenir d’utiliser leurs serveurs ATM General Bytes jusqu’à ce qu’ils mettent à jour leur serveur avec les versions de correctif 20220725.22 et 20220531.38 pour les clients exécutant sur 20220531.
Il a également été conseillé aux clients de modifier les paramètres du pare-feu de leur serveur afin que l’interface d’administration CAS ne soit accessible qu’à partir d’adresses IP autorisées, entre autres.
Avant de réactiver les terminaux, General Bytes a également rappelé aux clients de revoir leur « SELL Crypto Setting » pour s’assurer que les pirates n’avaient pas modifié les paramètres afin que les fonds reçus leur soient transférés (et non aux clients).
General Bytes a déclaré que plusieurs audits de sécurité avaient été menés depuis sa création en 2020, dont aucun n’a identifié cette vulnérabilité.
Comment l’attaque s’est-elle produite ?
L’équipe de conseil en sécurité de General Bytes a déclaré dans le blog que les pirates ont mené une attaque de vulnérabilité zero-day pour accéder au serveur d’applications cryptographiques (CAS) de la société et extraire des fonds.
Le serveur CAS gère l’ensemble des opérations de guichet automatique, ce qui inclut l’exécution de l’achat et de la vente de crypto sur les échanges et les pièces pris en charge.
Apparenté: Vulnérable: Kraken révèle que de nombreux guichets automatiques Bitcoin américains utilisent toujours des codes QR d’administrateur par défaut
La société estime que les pirates « ont recherché des serveurs exposés fonctionnant sur les ports TCP 7777 ou 443, y compris les serveurs hébergés sur le propre service cloud de General Bytes ».
À partir de là, les pirates se sont ajoutés en tant qu’administrateur par défaut sur le CAS, nommé « gb », puis ont modifié les paramètres « acheter » et « vendre » afin que toute crypto reçue par le Bitcoin automatique du guichet automatique soit plutôt transférée au pirate. adresse du portefeuille :
« L’attaquant a pu créer un utilisateur administrateur à distance via l’interface d’administration CAS via un appel d’URL à la page utilisée pour l’installation par défaut sur le serveur et créer le premier utilisateur d’administration. »
Lien source
