Bitcoin Der ATM-Hersteller Common Bytes hatte seine Server am 18. August mit einem Zero-Day-Angriff kompromittiert, der es Hackern ermöglichte, sich selbst zu Standardmanagern zu machen und Einstellungen so zu ändern, dass alle Gelder in ihre Taschen überwiesen wurden.
Die Menge der gestohlenen Gelder und die Anzahl der kompromittierten Geldautomaten wurden nicht bekannt gegeben, aber die Firma hat die Geldautomatenbetreiber aufgefordert, ihre Software zu ersetzen.
Der Hack war Genehmigt von Common Bytes am 18. August, das 8827 besitzt und betreibt Bitcoin Geldautomaten zugänglich in über 120 Ländern. Das Unternehmen hat seinen Hauptsitz in Prag, Tschechien, wo auch die Geldautomaten hergestellt werden. Geldautomaten-Interessenten sollten über 40 Bargeld kaufen oder bewerben.
Die Schwachstelle bestand aufgrund von Hacker-Änderungen, die das CAS-Softwareprogramm am 20201208. August auf das Modell 18 aktualisierten.
Common Bytes hat potenzielle Kunden gebeten, ihre Common Bytes ATM-Server nicht zu verwenden, bis sie ihren Server durch die Patch-Modelle 20220725.22 und 20220531.38 für Käufer ersetzen, die 20220531 betreiben.
Den Kunden wurde außerdem empfohlen, ihre Server-Firewall-Einstellungen zu ändern, damit unter anderem nur von zugelassenen IP-Adressen auf die CAS-Admin-Oberfläche zugegriffen werden kann.
Vor der Reaktivierung der Terminals erinnerte Common Bytes die Interessenten außerdem daran, ihre „SELL Crypto Setting“ zu testen, um sicherzustellen, dass die Hacker die Einstellungen nicht geändert haben, damit die erhaltenen Gelder stattdessen an sie (im Vergleich zu den Käufern) gesendet werden können.
Common Bytes sagte, dass seit seiner Einführung im Jahr 2020 eine Reihe von Sicherheitsprüfungen durchgeführt wurden, von denen keine diese Schwachstelle erkannte.
Wie es zu dem Überfall kam
Die Sicherheitsberatungsgruppe von Common Bytes sagte im Weblog, dass die Hacker einen Zero-Day-Angriff auf Sicherheitslücken durchgeführt haben, um Zugang zum Crypto Utility Server (CAS) des Unternehmens zu erhalten und das Geld zu extrahieren.
Der CAS-Server verwaltet Ihren gesamten Betrieb des Geldautomaten, zusammen mit der Ausführung des Einkaufs und der Förderung von Krypto an Börsen und welche Bargeld unterstützt werden.
Damit verbundenen: Anfällig: Kraken enthüllt viele US Bitcoin Geldautomaten verwenden dennoch standardmäßige Admin-QR-Codes
Das Unternehmen glaubt, dass die Hacker „nach ungeschützten Servern gesucht haben, die auf den TCP-Ports 7777 oder 443 betrieben werden, zusammen mit Servern, die auf dem persönlichen Cloud-Service von Common Bytes gehostet werden“.
Von dort fügten sich die Hacker selbst hinzu, weil der Standardadministrator auf dem CAS namens „gb“ danach die Einstellungen „Kauf“ und „Promote“ änderte, damit alle Kryptos, die von der Bitcoin ATM wurde als Alternative in die Taschen des Hackers übertragen -Tackle:
"Der Angreifer war in der Lage, über die CAS-Administrationsschnittstelle über einen URL-Namen auf der Webseite, die für die Standardeinrichtung auf dem Server verwendet wird, aus der Ferne eine Administratorperson zu erstellen und die primäre Administratorperson zu erstellen."
Quelle Link