Bitcoin El fabricante de cajeros automáticos Common Bytes vio comprometidos sus servidores el 18 de agosto con un ataque de día cero que permitió a los piratas informáticos convertirse en administradores predeterminados y modificar la configuración para que todos los fondos que van a sus bolsillos se transfieran.
La cantidad de dinero robado y el número de cajeros automáticos comprometidos no fueron revelados, pero la compañía instó a los operadores de cajeros automáticos a reemplazar su software.
el truco fue Aprobado por Common Bytes el 18 de agosto, que posee y opera 8827 Bitcoin Cajeros automáticos accesibles en más de 120 países. La empresa tiene su sede en Praga, República Checa, donde también se fabrican los cajeros automáticos. Los prospectos de cajeros automáticos deben comprar o promocionar más de 40 efectivo.
La vulnerabilidad ha existido desde que los cambios del hacker actualizaron el software CAS al modelo 20201208 el 18 de agosto.
Common Bytes ha solicitado a los clientes que no utilicen sus servidores de cajeros automáticos Common Bytes hasta que reemplacen su servidor para parchear los modelos 20220725.22 y 20220531.38 para los compradores que operan 20220531.
También se sugirió a los clientes que cambiaran la configuración del firewall de su servidor para que, entre otras cosas, solo se pueda acceder a la interfaz de administración de CAS desde direcciones IP aprobadas.
Antes de reactivar los terminales, Common Bytes también les recordó a los clientes que probaran su "Configuración de VENTA de criptomonedas" para asegurarse de que los piratas informáticos no cambiaron la configuración para que los fondos obtenidos pudieran enviarse a ellos (en lugar de a los compradores) en su lugar.
Common Bytes dijo que desde su lanzamiento en 2020, se han realizado varias auditorías de seguridad, ninguna de las cuales reconoció esta vulnerabilidad.
Cómo ocurrió el asalto
El grupo asesor de seguridad de Common Bytes dijo en el blog que los piratas informáticos llevaron a cabo un ataque de vulnerabilidad de día cero para acceder al Crypto Utility Server (CAS) de la empresa y extraer los fondos.
El servidor CAS administra todo el funcionamiento del cajero automático, incluida la ejecución de la compra y venta de criptografía en los intercambios y qué efectivo se admite.
Asociado: Susceptible: Kraken revela muchos EE. UU. Bitcoin No obstante, los cajeros automáticos utilizan códigos QR de administración predeterminados
La empresa cree que los piratas informáticos "buscaron servidores descubiertos que operaran en los puertos TCP 7777 o 443, incluidos los servidores alojados en el servicio de nube personal de Common Bytes".
A partir de ahí, los piratas informáticos se agregaron a sí mismos porque el administrador predeterminado en el CAS nombró "gb" y luego modificó la configuración de "comprar" y "promocionar" para que cualquier criptografía obtenida del Bitcoin El cajero automático había sido transferido a los bolsillos del hacker como alternativa -Tackle:
"El atacante estaba en condiciones de crear de forma remota una persona administradora mediante la interfaz de administración de CAS a través de un nombre de URL en la página web utilizada para la configuración predeterminada en el servidor y crear la persona administradora principal".
Link Fuente