Bitcoin ATM üreticisi General Bytes, kullanıcılarından kripto paraları yağmalamak için yazılımında daha önce bilinmeyen bir kusurdan yararlanan bir siber saldırının kurbanı olduğunu doğruladı.
Şirket geçen hafta bir danışma belgesinde, “Saldırgan, sunucuda varsayılan kurulum için kullanılan sayfadaki bir URL çağrısı aracılığıyla CAS yönetim arayüzü aracılığıyla uzaktan bir yönetici kullanıcı oluşturabildi ve ilk yönetici kullanıcıyı oluşturabildi” dedi. “Bu güvenlik açığı CAS yazılımında 2020-12-08 sürümünden beri mevcuttur.”
Bu kusur kullanılarak kaç sunucunun ihlal edildiği ve ne kadar kripto paranın çalındığı hemen belli değil.
CAS, şirketlerin Bitcoin ATM (BATM) makinelerini bir masaüstü veya mobil cihazdaki bir web tarayıcısı aracılığıyla merkezi bir konumdan yönetmelerini sağlayan General Bytes’ın kendi kendine barındırılan bir ürünü olan Crypto Application Server’ın kısaltmasıdır.
CAS yönetici arayüzündeki bir hatayla ilgili sıfır gün hatası, 20220531.38 ve 20220725.22 olmak üzere iki sunucu yaması sürümünde azaltıldı.
General Bytes, isimsiz tehdit aktörünün DigitalOcean bulut barındırma IP adres alanını tarayarak 7777 veya 443 numaralı bağlantı noktalarında CAS hizmetlerini çalıştırdığını ve ardından CAS’a “gb” adlı yeni bir varsayılan yönetici kullanıcı eklemek için kusuru kötüye kullandığını söyledi.
“Saldırgan, cüzdan ayarları ve ‘geçersiz ödeme adresi’ ayarı ile iki yönlü makinelerin kripto ayarlarını değiştirdi” dedi. “İki yönlü ATM’ler, müşteriler para gönderdiğinde saldırganın cüzdanına para göndermeye başladı. [the] ATM.”
Başka bir deyişle, saldırının amacı, tüm fonların düşmanın kontrolündeki dijital bir cüzdan adresine aktarılacağı şekilde ayarları değiştirmekti.
Şirket ayrıca, 2020’den beri “çoklu güvenlik denetimi” yaptığını ve bu eksikliğin hiçbir zaman tespit edilmediğini vurgulayarak, saldırının ATM’lerinde “Ukrayna’ya Yardım Et” özelliğini kamuya açıklamasından üç gün sonra gerçekleştiğini de sözlerine ekledi.