Un pirate a volé de l'argent aux utilisateurs de guichets automatiques Bitcoin

• Le fabricant de guichets automatiques Bitcoin General Bytes a fait face à un compromis sur ses serveurs via une attaque zero-day qui s'est produite la semaine dernière.
• La société n'a pas révélé le montant des fonds volés ni le nombre de guichets automatiques compromis. Cependant, General Bytes a conseillé aux opérateurs de guichets automatiques de mettre à jour leur logiciel de toute urgence.

---

Le célèbre fabricant de guichets automatiques Bitcoin, General Bytes, a récemment été confronté à un compromis sur ses serveurs via une attaque zero-day qui s'est produite la semaine dernière. L'incident a permis aux attaquants d'agir en tant qu'administrateurs par défaut et de modifier les paramètres pour transférer tous les fonds vers leur adresse de portefeuille.

Ni la société n'a révélé le montant des fonds volés, ni le nombre de guichets automatiques Bitcoin compromis. Cependant, General Bytes a informé Les opérateurs de guichets automatiques doivent mettre à jour leur logiciel de toute urgence.

Selon l'avis de la société publié jeudi, le pirate informatique a identifié un bug de sécurité dans l'interface d'administration du CAS. Ils ont analysé l'espace d'adressage IP du fournisseur d'hébergement cloud Digital Ocean et ont abusé de la vulnérabilité pour identifier les services CAS en cours d'exécution sur les ports 7777 ou 443. Après cela, ils ont créé un nouvel utilisateur administrateur, une organisation et un terminal par défaut. 

Après avoir soigneusement évalué l'interface CAS, l'attaquant a renommé l'utilisateur administrateur par défaut en « gb ». Après cela, ils ont modifié les paramètres de cryptographie des machines bidirectionnelles avec les paramètres du portefeuille Thor. Cela a abouti à ce que les distributeurs Bitcoin bidirectionnels transmettent des crypto-monnaies au portefeuille de l'attaquant lorsque les clients envoyaient leurs fonds aux distributeurs automatiques :

"L'attaquant a pu créer un utilisateur administrateur à distance via l'interface d'administration CAS via un appel URL sur la page utilisée pour l'installation par défaut sur le serveur et créer le premier utilisateur d'administration."

Malgré cette malheureuse violation, General Bytes affirme qu'aucun accès à la base de données n'a été effectué. De plus, l’attaquant n’a pas eu accès au fonctionnement de l’hôte et au système de fichiers. La société basée à Prague, en République tchèque, a précisé que tous les mots de passe, hachages de mots de passe, sels, clés API et clés privées sont sécurisés.

L'incitation du marqueur Bitcoin ATM aux clients

General Bytes, qui possède et exploite 8827 guichets automatiques Bitcoin répartis dans plus de 120 pays, offre aux clients la possibilité d'acheter et de vendre plus de 40 crypto-monnaies.

La société a exhorté les clients exécutant le 20220531 à cesser d'utiliser leurs serveurs General Bytes ATM jusqu'à ce qu'ils mettent à jour leurs serveurs avec les versions de correctif 20220725.22 et 20220531.38.

Les utilisateurs ont également été encouragés à modifier les paramètres de pare-feu de leur serveur afin que l'interface d'administration CAS ne soit accessible qu'à partir d'adresses IP autorisées. 

General Bytes a également conseillé aux consommateurs de vérifier leur « paramètre de crypto-vente » avant de redémarrer les terminaux pour s'assurer que les pirates n'ont pas modifié les paramètres afin que tout l'argent reçu leur soit transféré à la place (et non aux clients).

Depuis sa création en 2020, General Bytes a affirmé que plusieurs audits de sécurité ont été effectués, mais aucun d'entre eux n'a jamais découvert cette vulnérabilité.

L’attaque s’est notamment produite trois jours seulement après que la société a fait des annonces publiques concernant la fonctionnalité « Aidez l’Ukraine » sur ses distributeurs automatiques.

Dernières nouvelles