Bitcoin Il 18 agosto, il produttore di bancomat Common Bytes ha compromesso i suoi server con un attacco zero-day che ha consentito agli hacker di diventare i direttori predefiniti e modificare le impostazioni in modo che tutti i fondi andati alle loro tasche fossero trasferiti.
La quantità di fondi rubati e la varietà di bancomat compromessi non sono stati divulgati, tuttavia l'azienda ha esortato gli operatori ATM a sostituire il loro programma software.
L'hack è stato Approvato da Common Bytes il 18 agosto, che possiede e gestisce 8827 Bitcoin ATM accessibili in oltre 120 nazioni. L'azienda ha sede a Praga, nella Repubblica Ceca, dove vengono inoltre prodotti gli sportelli automatici. I potenziali clienti ATM dovrebbero acquistare o promuovere oltre 40 contanti.
La vulnerabilità esiste perché le modifiche degli hacker hanno aggiornato il programma software CAS al modello 20201208 il 18 agosto.
Common Bytes ha richiesto ai potenziali clienti di non utilizzare i loro server ATM Common Bytes fino a quando non sostituiranno il loro server per applicare la patch ai modelli 20220725.22 e 20220531.38 per gli acquirenti che operano 20220531.
Ai clienti è stato inoltre suggerito di modificare le impostazioni del firewall del server in modo che, tra i vari problemi, sia possibile accedere all'interfaccia di amministrazione CAS esclusivamente da indirizzi IP approvati.
Prima di riattivare i terminali, Common Bytes ha inoltre ricordato ai potenziali clienti di testare il loro "SELL Crypto Setting" per verificare che gli hacker non abbiano modificato le impostazioni in modo che i fondi ottenuti potessero essere inviati loro (relativamente agli acquirenti) in alternativa.
Common Bytes ha affermato che dal suo lancio nel 2020 sono stati eseguiti numerosi audit di sicurezza, nessuno dei quali ha riconosciuto questa vulnerabilità.
Come è avvenuta l'aggressione
Il gruppo di consulenza sulla sicurezza di Common Bytes ha affermato all'interno del blog che gli hacker hanno effettuato un attacco alla vulnerabilità zero-day per ottenere l'accesso al Crypto Utility Server (CAS) dell'azienda ed estrarre i fondi.
Il server CAS gestisce l'intera operazione dell'ATM, insieme all'esecuzione degli acquisti e alla promozione di criptovalute sugli scambi e sui contanti supportati.
associato: Suscettibile: Kraken rivela molti Stati Uniti Bitcoin Gli sportelli automatici utilizzano comunque i codici QR di amministrazione predefiniti
L'azienda ritiene che gli hacker "hanno scansionato i server scoperti che operano sulle porte TCP 7777 o 443, insieme ai server ospitati sul servizio cloud personale di Common Bytes".
Da lì, gli hacker si sono aggiunti perché l'amministratore predefinito sul CAS ha chiamato "gb" dopo di che ha modificato le impostazioni "acquista" e "promozione" in modo che eventuali criptovalute ottenute dal Bitcoin L'ATM era stato trasferito nelle tasche dell'hacker come alternativa -Tackle:
"L'attaccante era in grado di creare in remoto una persona amministratore dall'interfaccia di amministrazione CAS tramite un nome URL sulla pagina Web utilizzata per l'impostazione predefinita sul server e creare la persona amministratore principale".
Fonte
