Bilgisayar korsanları, müşterilerden kripto para birimi çalmak için General Bytes Bitcoin ATM sunucularındaki sıfır gün güvenlik açığından yararlandı.
Müşteriler ATM aracılığıyla kripto para birimini yatırdığında veya satın aldığında, fonlar bunun yerine bilgisayar korsanları tarafından sifonlanacaktı.
General Bytes, ürüne bağlı olarak insanların 40’tan fazla farklı kripto para birimi satın almasına veya satmasına izin veren Bitcoin ATM’lerinin üreticisidir.
Bitcoin ATM’leri uzaktan kumanda ile kontrol edilir Kripto Uygulama Sunucusu ATM’nin işleyişini yöneten, hangi kripto para birimlerinin desteklendiğini ve borsalarda kripto para alım ve satımını gerçekleştiren (CAS).
Bilgisayar korsanları CAS sıfır gününü kullanıyor
Dün, bir General Bytes müşterisi BleepingComputer ile iletişime geçti ve bize bilgisayar korsanlarının ATM’lerinden bitcoin çaldığını söyledi.
18 Ağustos’ta yayınlanan General Bytes güvenlik tavsiyesine göre, saldırılar şirketin Crypto Application Server’ında (CAS) sıfır gün güvenlik açığı kullanılarak gerçekleştirildi.
General Bytes tavsiyesinde, “Saldırgan, sunucuda varsayılan kurulum ve ilk yönetici kullanıcıyı oluşturmak için kullanılan sayfada bir URL çağrısı aracılığıyla CAS yönetim arabirimi aracılığıyla uzaktan bir yönetici kullanıcı oluşturabildi” diyor.
“Bu güvenlik açığı, 20201208 sürümünden beri CAS yazılımında mevcuttur.”
General Bytes, tehdit aktörlerinin Digital Ocean’da barındırılan sunucular ve General Bytes’ın kendi bulut hizmeti de dahil olmak üzere 7777 veya 443 numaralı TCP bağlantı noktalarında çalışan açık sunucular için interneti taradığına inanıyor.
Tehdit aktörleri daha sonra CAS’a ‘gb’ adlı varsayılan bir yönetici kullanıcı eklemek için hatadan yararlandı ve hacker’ın kontrolü altında bir kripto para cüzdanı kullanmak için ‘al’ ve ‘sat’ kripto ayarlarını ve ‘geçersiz ödeme adresini’ değiştirdi.
Tehdit eylemi bu ayarları değiştirdiğinde, CAS tarafından alınan herhangi bir kripto para bunun yerine bilgisayar korsanlarına iletildi.
Güvenlik tavsiyesi, “Müşteriler ATM’ye para gönderdiğinde, iki yönlü ATM’ler saldırganın cüzdanına para göndermeye başladı” diye açıklıyor.
General Bytes, müşterileri, sunucularında 2022051.38 ve 20220725.22 olmak üzere iki sunucu yaması sürümü uygulayana kadar Bitcoin ATM’lerini çalıştırmamaları konusunda uyarıyor.
Onlar da sağladı adımların kontrol listesi tekrar hizmete girmeden önce cihazlarda gerçekleştirmek için.
Sunucular yalnızca güvenilir IP adreslerinden bağlantılara izin vermek için güvenlik duvarı ile korunsaydı, tehdit aktörlerinin bu saldırıları gerçekleştiremeyeceklerini unutmamak önemlidir.
Bu nedenle, hayati önem taşıyan güvenlik duvarlarını yapılandır yalnızca, ATM’nin konumu veya müşterinin ofisleri gibi güvenilir bir IP adresinden Kripto Uygulama Sunucusuna erişime izin vermek için.
tarafından sağlanan bilgilere göre BinaryEdgeşu anda, çoğunluğu Kanada’da bulunan, hala İnternete açık olan on sekiz General Bytes Crypto Application Server bulunmaktadır.
Bu güvenlik açığı kullanılarak kaç sunucunun ihlal edildiği ve ne kadar kripto para biriminin çalındığı belli değil.
BleepingComputer, dün General Bytes ile saldırı hakkında daha fazla soru ile temasa geçti ancak yanıt alamadı.