General Bytes Bitcoin ATM sunucuları, sıfır gün güvenlik açığı nedeniyle müşterilerinden kripto para çalmak için bilgisayar korsanları tarafından istismar edildi.
ATM aracılığıyla kripto para birimi yatırıldığında veya satın alındığında, bilgisayar korsanları fonları sifonlamak için durumdan yararlanırdı.
General Bytes, modele bağlı olarak 40’tan fazla farklı kripto para birimi alıp satabilen Bitcoin ATM’leri üretmektedir.
Bitcoin ATM’lerini uzaktan kontrol eden ve aşağıdaki işlevleri etkinleştiren bir CAS vardır: –
- ATM’nin olması gerektiği gibi çalışmasını sağlar
- Hangi kripto para birimleri desteklenir
- Kripto para alım ve satımı için borsalarda işlem yapar
Bitcoin ATM sunucularında Sıfır Gün Güvenlik Açığı
CAS yazılımı, 20201208 sürümünde piyasaya sürülmesinden bu yana bu sıfır gün güvenlik açığına karşı savunmasızdı. 18 Ağustos’ta General Bytes, aşağıdakileri özetleyen bir güvenlik danışma belgesi yayınladı:-
“Saldırıların bir parçası olarak, şirketin CAS’ı, saldırgan tarafından istismar edilen bir sıfırıncı gün güvenlik açığına maruz kaldı.”
Sayfadaki bir URL çağrısı, saldırgana, bilgisayar korsanının uzaktan bir yönetici kullanıcı oluşturabildiği CAS yönetim arabirimine erişim izni verdi. Bu sayfada, sunucuda ilk yönetici hesabının oluşturulmasıyla birlikte varsayılan bir kurulum gerçekleştirilir.
İnternetteki tehdit aktörleri tarafından aşağıdaki TCP bağlantı noktalarından herhangi birinde çalışan sunucuların herhangi bir açığa çıkması için bir tarama gerçekleştirildi:-
Digital Ocean’daki sunucular ile General Bytes’ın kendi bulut servislerinde barındırılan sunucular da bu listeye dahildir.
Tehdit aktörleri tarafından bu hatadan yararlanmanın bir sonucu olarak CAS’a ‘gb’ adlı varsayılan bir yönetici kullanıcı eklendi. Ardından bilgisayar korsanı aşağıdakileri değiştirdi: –
- ‘satın al’ kripto ayarları
- kripto ayarlarını ‘satmak’
- Bilgisayar korsanının kontrolü altındaki bir cüzdanla kullanılan ‘geçersiz ödeme adresi’
General Bytes’tan, müşterilerin Bitcoin ATM’lerini kullanmaya başlamadan önce sunucularına uygulanması gereken iki yeni sunucu yaması sürümü vardır: –
O zamana kadar güvenlik analistleri, kullanıcıları Bitcoin ATM’lerini çalıştırmamaya şiddetle çağırdı.
Öneriler
Aşağıda, tüm önerilerden bahsettik: –
- Yönetici ve ana hizmetler durdurulmalıdır.
- Sunucunun 20220725.22’ye yükseltilmesi gerekiyor.
- Sunucunuzdaki güvenlik duvarı ayarlarının değiştirilmesi gerekiyor.
- Yönetici hizmeti başlatılmalıdır.
- Yalnızca iki yönlü makinelerin devre dışı bırakıldığından emin olun.
- Tüm CAS kullanıcılarınızın gözden geçirildiğinden emin olun.
- Tüm kullanıcılar için tüm şifreleri sıfırlamak gerekir.
- Doğru olduklarından emin olmak için kripto ayarlarınızı gözden geçirmelisiniz.
- Saldırgan tarafından herhangi bir terminal eklenmediğinden emin olun. Sisteminiz ihlal edildiyse BT123456’yı bulma ihtimaliniz var.
- Terminallerin etkinleştirildiğinden emin olun.
- Sisteminizin ihlal edildiğinden endişeleniyorsanız, bir saldırganın etkinliği hakkında daha fazla bilgiyi admin.log dosyasında bulabilirsiniz.
Ayrıca Okuyun: Uzaktan Çalışanların Yükselişi: Ağınızın Güvenliğini Sağlamak İçin Bir Kontrol Listesi – Ücretsiz E-Kitap İndirme