Hackerlar, Genel Bayt Bitcoin Atm`lerinden Çalmak İçin Sıfır Gün Hatasından Yararlanıyor

Bitcoin ATM üreticisi General Bytes, sunucularını Ağustos ayında sıfır günlük bir saldırı ile tehlikeye attı. 18, bilgisayar korsanlarının kendilerini varsayılan yöneticiler yapmalarını ve tüm fonların cüzdan adreslerine aktarılabilmesi için ayarları değiştirmelerini sağladı.

Çalınan fon miktarı ve tehlikeye atılan ATM sayısı açıklanmadı, ancak şirket ATM operatörlerine yazılımlarını güncellemelerini acilen tavsiye etti.

Hack, Ağustos ayında General Bytes tarafından onaylandı. 120'den fazla ülkede erişilebilen 8827 Bitcoin Atm'sine sahip olan ve işleten 18. Şirketin merkezi, aynı zamanda Atm'lerin üretildiği Prag, Çek Cumhuriyeti'nde bulunmaktadır. ATM müşterileri 40'tan fazla jeton satın alabilir veya satabilir.

Güvenlik açığı, bilgisayar korsanının CAS yazılımını Ağustos ayında 20201208 sürümüne güncellediğinden beri mevcuttu. 18.

General Bytes, müşterileri, sunucularını 20220725.22 ve 20220531'de çalışan müşteriler için 20220531.38 düzeltme eki sürümlerine güncelleştirene kadar General Bytes ATM sunucularını kullanmaktan kaçınmaya çağırdı.

Müşterilere ayrıca sunucu güvenlik duvarı ayarlarını değiştirmeleri önerildi, böylece CAS yönetici arabirimine diğer şeylerin yanı sıra yalnızca yetkili IP adreslerinden erişilebilir.

Terminalleri yeniden etkinleştirmeden önce General Bytes, müşterilere, bilgisayar korsanlarının ayarları değiştirmediğinden emin olmak için “Kripto Satma Ayarlarını” gözden geçirmelerini hatırlattı; böylece alınan fonlar kendilerine (müşterilere değil) aktarılacaktı.

General Bytes, 2020'deki kuruluşundan bu yana çeşitli güvenlik denetimlerinin yapıldığını ve bunların hiçbirinin bu güvenlik açığını belirlemediğini belirtti.

Saldırı nasıl oldu

General Bytes güvenlik danışma ekibi blogda, bilgisayar korsanlarının şirketin Kripto Uygulama Sunucusuna (CAS) erişmek ve fonları çıkarmak için sıfır günlük bir güvenlik açığı saldırısı gerçekleştirdiğini belirtti.

CAS sunucusu, borsalarda kripto alım satımının yapılmasını ve hangi paraların desteklendiğini içeren atm'nin tüm operasyonunu yönetir.

Şirket, bilgisayar korsanlarının “General Bytes'ın kendi bulut hizmetinde barındırılan sunucular da dahil olmak üzere 7777 veya 443 numaralı TCP bağlantı noktalarında çalışan açık sunucular için taradıklarına inanıyor.”

Oradan, bilgisayar korsanları kendilerini GB adlı Ca'larda varsayılan bir yönetici olarak eklediler ve ardından “satın al” ve “sat” ayarlarını değiştirmeye devam ettiler, böylece Bitcoin ATM'Sİ tarafından alınan herhangi bir kripto bunun yerine bilgisayar korsanının cüzdan adresine aktarılacaktı:

"Saldırgan, sunucuya varsayılan yükleme ve ilk yönetim kullanıcısını oluşturmak için kullanılan sayfadaki bir URL çağrısı yoluyla CAS yönetim arabirimi üzerinden uzaktan bir yönetici kullanıcısı oluşturabildi.”

Kaynak: cointelegraph.com