Bitcoin ATM üreticisi General Bytes, kimliği belirsiz tehdit aktörlerinin, yazılımındaki sıfır gün güvenlik açığından yararlanarak sıcak cüzdanlardan kripto para çaldığını açıkladı.
Şirket, hafta sonu yayınlanan bir danışma belgesinde, “Saldırgan, video yüklemek için terminaller tarafından kullanılan ana hizmet arayüzü aracılığıyla kendi java uygulamasını uzaktan yükleyebildi ve ‘batm’ kullanıcı ayrıcalıklarını kullanarak çalıştırabildi” dedi.
“Saldırgan, Digital Ocean bulut barındırma IP adres alanını taradı ve General Bytes Cloud hizmeti ve sunucularını Digital Ocean üzerinde çalıştıran diğer GB ATM operatörleri dahil olmak üzere 7741 numaralı bağlantı noktalarında çalışan CAS hizmetlerini belirledi.”
Şirket, kötü amaçlı Java uygulamasının yüklendiği sunucunun varsayılan olarak dağıtım klasöründe (“/batm/app/admin/standalone/deployments/”) bulunan uygulamaları başlatacak şekilde yapılandırıldığını söyledi.
Bunu yaparak, saldırı, tehdit aktörünün veritabanına erişmesine izin verdi; sıcak cüzdanlar ve borsalardaki fonlara erişmek için kullanılan API anahtarlarını okuyun ve şifresini çözün; cüzdanlardan para göndermek; kullanıcı adlarını, parola karmalarını indirin ve iki faktörlü kimlik doğrulamayı (2FA) kapatın; ve hatta terminal olay günlüklerine erişin.
Ayrıca, olay sonucunda kendi bulut hizmetinin yanı sıra diğer operatörlerin bağımsız sunucularına sızıldığı ve şirketin hizmeti kapatmasına neden olduğu konusunda uyardı.
Müşterileri kripto uygulama sunucularını (CAS’lar) bir güvenlik duvarı ve bir VPN arkasında tutmaya teşvik etmenin yanı sıra, tüm kullanıcıların şifrelerini ve API anahtarlarını borsalara ve sıcak cüzdanlara döndürmelerini tavsiye ediyor.
General Bytes, danışma belgesinde “CAS güvenlik düzeltmesi, 20221118.48 ve 20230120.44 olmak üzere iki sunucu yama sürümünde sağlanmıştır” dedi.
Şirket ayrıca 2021’den bu yana çok sayıda güvenlik denetimi gerçekleştirdiğini ve hiçbirinin bu güvenlik açığını işaretlemediğini vurguladı. 20210401 sürümünden beri yama uygulanmamış gibi görünüyor.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
General Bytes, bilgisayar korsanları tarafından çalınan fonların tam miktarını açıklamadı, ancak saldırıda kullanılan kripto para cüzdanlarının analizi, 56.283 BTC (1.5 milyon $), 21.823 ETH (36.500 $) ve 1.219.183 LTC (96.500 $) alındığını ortaya koyuyor.
ATM hack’i, Ağustos 2022’de müşterilerinden kripto çalmak için ATM sunucularında bir başka sıfır gün kusuru ile General Bytes’ı hedef alan ikinci ihlaldir.