ハッカーがビットコイン ATM ユーザーからお金を盗んだ
- ビットコイン ATM メーカーの General Bytes は、先週発生したゼロデイ攻撃により、サーバーへの侵害に直面しました。
- 同社は、盗まれた資金の額や侵害された ATM の数を明らかにしていません。ただし、General Bytes は、ATM オペレーターにソフトウェアを緊急に更新するようアドバイスしています。
有名なビットコイン ATM メーカーである General Bytes は、先週発生したゼロデイ攻撃によるサーバーへの侵害に最近直面しました。このインシデントにより、攻撃者はデフォルトの管理者として行動し、設定を変更してすべての資金を自分のウォレット アドレスに転送することができました。
同社は、盗まれた資金の額も、侵害されたビットコイン ATM の数も明らかにしていません。ただし、General Bytes には アドバイス ATMオペレーターは、ソフトウェアを緊急に更新する必要があります。
木曜日に発表された同社の勧告によると、ハッカーは CAS 管理インターフェイスにセキュリティ バグを発見しました。彼らはクラウド ホスティング プロバイダー Digital Ocean の IP アドレス空間をスキャンし、脆弱性を悪用してポート 7777 または 443 で実行中の CAS サービスを特定しました。その後、新しいデフォルトの管理者ユーザー、組織、および端末を作成しました。
CAS インターフェイスを徹底的に評価した後、攻撃者はデフォルトの管理者ユーザーの名前を「gb」に変更しました。この後、トールウォレットの設定で双方向マシンの暗号設定を変更しました。これにより、顧客が資金を ATM に送金すると、双方向のビットコイン ATM が暗号通貨を攻撃者のウォレットに転送することになりました。
「攻撃者は、サーバーへのデフォルトのインストールと最初の管理ユーザーの作成に使用されるページの URL 呼び出しを介して、CAS 管理インターフェイスを介してリモートで管理ユーザーを作成することができました。」
不幸な侵害にもかかわらず、General Bytes は、データベースへのアクセスは行われていないと主張しています。さらに、攻撃者はホストの操作とファイル システムにアクセスできませんでした。チェコ共和国のプラハに本社を置く同社は、すべてのパスワード、パスワード ハッシュ、ソルト、API キー、および秘密キーが安全であることを明らかにしました。
ビットコイン ATM マーカーの顧客への衝動
General Bytes は、120 か国以上に広がる 8827 台のビットコイン ATM を所有および運営しており、顧客に 40 以上の暗号通貨を売買する機会を提供しています。
同社は、20220531 を実行している顧客に対して、サーバーを更新してリリース 20220725.22 および 20220531.38 にパッチを適用するまで、General Bytes ATM サーバーの使用を停止するように促しています。
ユーザーは、許可された IP アドレスからのみ CAS 管理インターフェイスにアクセスできるように、サーバーのファイアウォール設定を変更することも推奨されています。
General Bytes はまた、端末を再起動する前に「SELL Crypto Setting」をチェックして、ハッカーが設定を変更していないことを確認し、受け取ったお金が (顧客ではなく) 端末に転送されるようにすることを消費者にアドバイスしました。
General Bytes は 2020 年の設立以来、複数のセキュリティ監査が実施されてきたと主張していますが、いずれもこの脆弱性を発見したことはありません。
特筆すべきは、攻撃が発生したのは、同社が ATM の「ヘルプ ウクライナ」機能について公式に発表してからわずか 3 日後のことです。