В криптовалютных банкоматах General Bytes обнаружили уязвимость нулевого дня, которую злоумышленники тут же использовали для кражи средств. Когда пользователи вносили или покупали криптовалюту через банкомат, деньги получали хакеры.
Чешская компания General Bytes владеет и управляет 8827 криптовалютными банкоматами, которые доступны более чем в 120 странах мира. Эти устройства позволяют покупать и продавать более 40 различных криптовалют, и контролируются удаленным CAS-сервером (Crypto Application Server), который управляет работой банкомата, проводит операции с поддерживаемыми криптовалютами, а также выполняет покупку и продажу на биржах.
Согласно бюллетеню безопасности General Bytes, опубликованному 18 августа 2022 года, атаки на банкоматы проводились с использованием 0-day уязвимости в CAS-сервере компании.
«Злоумышленник мог удаленно создать пользователя-администратора через административный интерфейс CAS (посредством вызова URL-адреса на странице, которая используется для установки по умолчанию и создания первого пользователя-администратора), — гласит отчет. — Эта уязвимость присутствует в CAS, начиная с версии 20201208».
Специалисты General Bytes полагают, что злоумышленники сканировали интернет в поисках серверов, с открытыми TCP-портами 7777 или 443, включая серверы, размещенные в Digital Ocean и собственном облачном сервисе General Bytes.
Затем хакеры воспользовались уязвимостью, чтобы добавить в систему дефолтного пользователя-администратора с именем «gb» и изменить настройки для покупки и продажи криптовалюты, а также настройку invalid payment address («Недействительный платежный адрес»), внедрив в систему адрес своего собственного кошелька. В итоге любая криптовалюта, полученная CAS, попадала в руки хакеров.
Теперь представители General Bytes предупреждают клиентов, что нельзя использовать криптовалютные банкоматы, пока на них не будут установлены патчи 20220531.38 и 20220725.22. Также компания опубликовала подробный список действий, которые необходимо выполнить на устройствах, прежде чем те снова будут введены в эксплуатацию. В числе прочего, рекомендуется изменить настройки брандмауэра, чтобы доступ к интерфейсу администратора CAS был возможен только с авторизованных IP-адресов.
При этом из сообщения компании неясно, сколько серверов было скомпрометировано, и сколько именно криптовалюты было украдено у пользователей.
По информации BinaryEdge, в настоящее время в сети все еще можно обнаружить 18 CAS-серверов General Bytes, большинство из которых расположены в Канаде.
