A fabricante de caixas eletrônicos de Bitcoin General Bytes teve seus servidores comprometidos por meio de um hack de dia zero na quinta-feira, o que permitiu que os hackers se tornassem os administradores padrão e modificassem as configurações para que todos os fundos fossem transferidos para o endereço de suas carteiras.
A quantidade de fundos roubados e o número de caixas eletrônicos comprometidos não foram divulgados, mas a empresa aconselhou urgentemente os operadores de caixas eletrônicos a atualizarem seu software.
O hack foi confirmado pela General Bytes na quinta-feira, que possui e opera 8.827 caixas eletrônicos de Bitcoin acessíveis em mais de 120 países. A empresa está sediada em Praga, na República Tcheca, onde também são fabricados os caixas eletrônicos. Os clientes de caixas eletrônicos podem comprar ou vender mais de 40 moedas.
A vulnerabilidade está presente desde que as modificações dos hackers atualizaram o software CAS para a versão 20201208 na quinta-feira.
A General Bytes pediu aos clientes que se abstenham de usar seus servidores de caixa eletrônico da General Bytes até que atualizem seu servidor para as versões de patch 20220725.22 e 20220531.38 para clientes rodando em 20220531.
Os clientes também foram aconselhados a modificar as configurações do firewall do servidor para que a interface de administração do CAS só possa ser acessada a partir de endereços IP autorizados, entre outras coisas.
Antes de reativar os terminais, a General Bytes também lembrou aos clientes que revisassem sua “SELL Crypto Setting” para garantir que os hackers não modificassem as configurações de modo que quaisquer fundos recebidos fossem transferidos para eles (e não para os clientes).
A General Bytes afirmou que várias auditorias de segurança foram realizadas desde seu início em 2020, nenhuma das quais identificou essa vulnerabilidade.
Como aconteceu o ataque
A equipe de consultoria de segurança da General Bytes afirmou no blog que os hackers realizaram um ataque de vulnerabilidade de dia zero para obter acesso ao Crypto Application Server (CAS) da empresa e extrair os fundos.
O servidor CAS gerencia toda a operação do caixa eletrônico, que inclui a execução de compra e venda de criptomoedas em exchanges e quais moedas são suportadas.
A empresa acredita que os hackers “examinaram servidores expostos em execução nas portas TCP 7777 ou 443, incluindo servidores hospedados no próprio serviço de nuvem da General Bytes”.
A partir daí, os hackers se adicionaram como um administrador padrão no CAS, chamado gb, e então modificaram as configurações de “comprar” e “vender” de modo que qualquer criptomoeda recebida pelo caixa eletrônico de Bitcoin fosse transferida para o endereço da carteira dos hackers:
“Os invasorer conseguiram criar um usuário administrador remotamente por meio da interface administrativa do CAS por meio de uma chamada de URL na página usada para a instalação padrão no servidor e a criação do primeiro usuário administrativo.”
LEIA MAIS: