Un pirate a volé de l'argent aux utilisateurs de guichets automatiques Bitcoin

• Le fabricant de guichets automatiques Bitcoin General Bytes a fait face à un compromis sur ses serveurs via une attaque zero-day qui s'est produite la semaine dernière.
• La société n'a pas révélé le montant des fonds volés ni le nombre de guichets automatiques compromis. Cependant, General Bytes a conseillé aux opérateurs de guichets automatiques de mettre à jour leur logiciel de toute urgence.

---

Le célèbre fabricant de guichets automatiques Bitcoin, General Bytes, a récemment été confronté à un compromis sur ses serveurs via une attaque zero-day qui s'est produite la semaine dernière. L'incident a permis aux attaquants d'agir en tant qu'administrateurs par défaut et de modifier les paramètres pour transférer tous les fonds vers leur adresse de portefeuille.

Ni la société n'a révélé le montant des fonds volés, ni le nombre de guichets automatiques Bitcoin compromis. Cependant, General Bytes a informé Les opérateurs de guichets automatiques doivent mettre à jour leur logiciel de toute urgence.

Selon l'avis de la société publié jeudi, le pirate a identifié un bogue de sécurité dans l'interface d'administration du CAS. Ils ont scanné l'espace d'adressage IP du fournisseur d'hébergement cloud Digital Ocean et ont abusé de la vulnérabilité pour identifier les services CAS en cours d'exécution sur les ports 7777 ou 443. Après cela, ils ont créé un nouvel utilisateur administrateur, une organisation et un terminal par défaut. 

Après avoir soigneusement évalué l'interface CAS, l'attaquant a renommé l'utilisateur administrateur par défaut en "gb". Après cela, ils ont apporté des modifications aux paramètres de cryptage des machines bidirectionnelles avec les paramètres de portefeuille thor. Cela a eu pour conséquence que les guichets automatiques Bitcoin bidirectionnels transfèrent les crypto-monnaies vers le portefeuille de l'attaquant lorsque les clients envoyaient leurs fonds aux guichets automatiques :

"L'attaquant a pu créer un utilisateur administrateur à distance via l'interface d'administration CAS via un appel d'URL sur la page utilisée pour l'installation par défaut sur le serveur et créer le premier utilisateur d'administration."

Malgré la malheureuse violation, General Bytes affirme qu'aucun accès à la base de données n'a été effectué. De plus, l'attaquant n'a pas eu accès à l'opération hôte et au système de fichiers. La société basée à Prague, en République tchèque, a précisé que tous les mots de passe, hachages de mots de passe, sels, clés API et clés privées sont sûrs.

L'envie du marqueur Bitcoin ATM pour les clients

General Bytes, qui possède et exploite 8827 guichets automatiques Bitcoin répartis dans plus de 120 pays, offre aux clients la possibilité d'acheter et de vendre plus de 40 crypto-monnaies.

La société a exhorté les clients exécutant le 20220531 à cesser d'utiliser leurs serveurs General Bytes ATM jusqu'à ce qu'ils mettent à jour leurs serveurs avec les versions de correctif 20220725.22 et 20220531.38.

Les utilisateurs ont également été encouragés à modifier les paramètres de pare-feu de leur serveur afin que l'interface d'administration CAS ne soit accessible qu'à partir d'adresses IP autorisées. 

General Bytes a également conseillé aux consommateurs de vérifier leur "SELL Crypto Setting" avant de redémarrer les terminaux pour s'assurer que les pirates n'avaient pas modifié les paramètres afin que tout l'argent reçu leur soit transféré à la place (et non aux clients).

Depuis sa création en 2020, General Bytes a affirmé que plusieurs audits de sécurité ont été effectués, mais aucun d'entre eux n'a jamais découvert cette vulnérabilité.

Notamment, l'attaque s'est produite trois jours seulement après que la société a fait des annonces publiques concernant une fonction "Help Ukraine" sur ses distributeurs automatiques de billets.

Dernières nouvelles