Bitcoin Le fabricant de distributeurs automatiques de billets Common Bytes a vu ses serveurs compromis le 18 août avec une attaque de type « zero-day » qui a permis aux pirates de se faire les administrateurs par défaut et de modifier les paramètres afin que tous les fonds aillent dans leurs poches et soient transférés.
Le montant des fonds volés et le nombre de guichets automatiques compromis n'ont pas été divulgués, mais la société a exhorté les opérateurs de guichets automatiques à remplacer leur logiciel.
Le hack était A approuvé par Common Bytes le 18 août, qui possède et exploite 8827 Bitcoin Distributeurs automatiques de billets accessibles dans plus de 120 pays. La société a son siège social à Prague, en République tchèque, où les guichets automatiques sont également fabriqués. Les prospects ATM doivent acheter ou promouvoir plus de 40 espèces.
La vulnérabilité existe depuis que les modifications du pirate ont mis à jour le logiciel CAS au modèle 20201208 le 18 août.
Common Bytes a demandé aux prospects de ne pas utiliser leurs serveurs ATM Common Bytes jusqu'à ce qu'ils remplacent leur serveur pour corriger les modèles 20220725.22 et 20220531.38 pour les acheteurs utilisant 20220531.
Les clients ont également été invités à modifier les paramètres de pare-feu de leur serveur afin que, entre autres problèmes, l'interface d'administration CAS ne soit accessible qu'à partir d'adresses IP approuvées.
Avant de réactiver les terminaux, Common Bytes a également rappelé aux prospects de tester leur "SELL Crypto Setting" pour vérifier que les pirates n'ont pas modifié les paramètres afin que les fonds obtenus puissent leur être envoyés (relativement aux acheteurs) à la place.
Common Bytes a déclaré que depuis son lancement en 2020, un certain nombre d'audits de sécurité ont été effectués, dont aucun n'a reconnu cette vulnérabilité.
Comment s'est passé l'agression
Le groupe consultatif sur la sécurité de Common Bytes a déclaré dans le blog que les pirates avaient mené une attaque de vulnérabilité zero-day pour accéder au Crypto Utility Server (CAS) de l'entreprise et extraire les fonds.
Le serveur CAS gère l'ensemble de votre fonctionnement du guichet automatique, ainsi que l'exécution de l'achat et de la promotion de la crypto sur les échanges et les espèces prises en charge.
Associé: Susceptible: Kraken révèle de nombreux États-Unis Bitcoin Les guichets automatiques utilisent néanmoins les codes QR d'administration par défaut
La société pense que les pirates "ont recherché des serveurs non couverts fonctionnant sur les ports TCP 7777 ou 443, ainsi que des serveurs hébergés sur le service cloud personnel de Common Bytes".
À partir de là, les pirates se sont ajoutés parce que l'administrateur par défaut sur le CAS nommé "gb" a ensuite modifié les paramètres "acheter" et "promouvoir" afin que tout cryptos obtenu à partir du Bitcoin ATM avait été transféré dans les poches du pirate comme alternative
"L'attaquant était en mesure de créer à distance un administrateur par l'interface d'administration CAS au moyen d'un nom d'URL sur la page Web utilisée pour la configuration par défaut sur le serveur et de créer l'administrateur principal."
Lien Source