Coin News

Gli hacker hanno sfruttato un bug zero day per rubare dagli ATM Bitcoin di General Bytes

22 Aug, 20223 min readBitcoin
Gli hacker hanno sfruttato un bug zero day per rubare dagli ATM Bitcoin di General Bytes

Il 18 agosto il produttore di ATM Bitcoin General Bytes ha subito un attacco zero-day che ha permesso agli hacker di diventare amministratori di default e di modificare le impostazioni in modo che tutti i fondi venissero trasferiti ai loro portafogli.

L'ammontare dei fondi rubati e il numero di bancomat compromessi non sono stati resi noti, ma l'azienda ha consigliato agli operatori di ATM di aggiornare il proprio software con la massima urgenza.

L'hack è stato confermato il 18 agosto da General Bytes, che possiede e gestisce 8827 ATM Bitcoin accessibili in oltre 120 Paesi. La società ha sede a Praga, nella Repubblica Ceca, dove vengono prodotti anche i bancomat. I clienti possono acquistare o vendere oltre 40 monete.

La vulnerabilità risulta presente da quando le modifiche apportate dall'hacker hanno aggiornato il software CAS alla versione 20201208 il 18 agosto. General Bytes ha invitato i clienti ad evitare di utilizzare i loro server ATM fino a quando non aggiorneranno i loro server alla patch 20220725.22 e 20220531.38 per i clienti che utilizzano la versione 20220531.

Inoltre è stato consigliato di modificare le impostazioni del firewall del server in modo che l'interfaccia di amministrazione CAS sia accessibile solo da indirizzi IP autorizzati. Prima di riattivare i terminali, General Bytes ha anche ricordato ai clienti di rivedere le loro "SELL Crypto Setting" per assicurarsi che gli hacker non abbiano modificato le impostazioni in modo che i fondi ricevuti vengano trasferiti a loro (e non ai clienti).

General Bytes ha dichiarato che dalla sua nascita nel 2020 sono stati condotti diversi controlli di sicurezza, nessuno dei quali ha individuato questa vulnerabilità.

Come è avvenuto l'attacco

Il team responsabile della sicurezza di General Bytes ha dichiarato nel blog che gli hacker hanno condotto un attacco zero-day per ottenere l'accesso al Crypto Application Server (CAS) dell'azienda ed estrarre i fondi. Il server CAS gestisce l'intero funzionamento del bancomat, che include l'esecuzione di acquisti e vendite di criptovalute su exchange e quali monete sono supportate.

L'azienda ritiene che gli hacker abbiano "scansionato i server esposti in esecuzione sulle porte TCP 7777 o 443, compresi i server ospitati sul servizio cloud di General Bytes".

Da lì, gli hacker si sono aggiunti come amministratore predefinito sul CAS, chiamato gb, e hanno poi modificato le impostazioni di "acquisto" e "vendita" in modo che tutte le criptovalute ricevute dal Bitcoin ATM venissero trasferite ai loro indirizzi wallet:

"L'utente malintenzionato è stato in grado di creare un utente amministratore in remoto tramite l'interfaccia amministrativa CAS, grazie a una chiamata URL sulla pagina utilizzata per l'installazione predefinita sul server e la creazione del primo utente di amministrazione."

Source

Subscribe to get our top stories

Coin News
App StoreApp Store