Les pirates ont exploité une vulnérabilité zero-day dans les serveurs ATM General Bytes Bitcoin pour voler la crypto-monnaie des clients.
Lorsque les clients déposeraient ou achèteraient de la crypto-monnaie via le guichet automatique, les fonds seraient plutôt détournés par les pirates
General Bytes est le fabricant de guichets automatiques Bitcoin qui, selon le produit, permettent aux gens d’acheter ou de vendre plus de 40 crypto-monnaies différentes.
Les guichets automatiques Bitcoin sont contrôlés par une télécommande Serveur d’applications cryptographiques (CAS), qui gère le fonctionnement du guichet automatique, les crypto-monnaies prises en charge et exécute les achats et les ventes de crypto-monnaie sur les bourses.
Les pirates exploitent CAS zero-day
Hier, BleepingComputer a été contacté par un client de General Bytes qui nous a dit que des pirates volaient des bitcoins à leurs guichets automatiques.
Selon un avis de sécurité de General Bytes publié le 18 août, les attaques ont été menées à l’aide d’une vulnérabilité zero-day dans le Crypto Application Server (CAS) de l’entreprise.
“L’attaquant a pu créer un utilisateur administrateur à distance via l’interface d’administration CAS via un appel d’URL sur la page utilisée pour l’installation par défaut sur le serveur et créer le premier utilisateur d’administration”, lit-on dans l’avis General Bytes.
“Cette vulnérabilité est présente dans le logiciel CAS depuis la version 20201208.”
General Bytes pense que les acteurs de la menace ont scanné Internet à la recherche de serveurs exposés fonctionnant sur les ports TCP 7777 ou 443, y compris les serveurs hébergés sur Digital Ocean et le propre service cloud de General Bytes.
Les acteurs de la menace ont ensuite exploité le bogue pour ajouter un utilisateur administrateur par défaut nommé « gb » au CAS et ont modifié les paramètres de chiffrement « acheter » et « vendre » ainsi que « l’adresse de paiement invalide » pour utiliser un portefeuille de crypto-monnaie sous le contrôle du pirate.
Une fois que les actos de la menace ont modifié ces paramètres, toute crypto-monnaie reçue par CAS a été transmise aux pirates à la place.
“Les guichets automatiques bidirectionnels ont commencé à transférer des pièces vers le portefeuille de l’attaquant lorsque les clients ont envoyé des pièces au guichet automatique”, explique l’avis de sécurité.
General Bytes avertit les clients de ne pas utiliser leurs guichets automatiques Bitcoin tant qu’ils n’ont pas appliqué deux versions de correctifs de serveur, 20220531.38 et 20220725.22, sur leurs serveurs.
Ils ont également fourni un check-list des étapes à effectuer sur les appareils avant leur remise en service.
Il est important de se rappeler que les acteurs de la menace n’auraient pas été en mesure d’effectuer ces attaques si les serveurs avaient été protégés par un pare-feu uniquement pour autoriser les connexions à partir d’adresses IP de confiance.
Par conséquent, il est vital de configurer les pare-feux uniquement pour autoriser l’accès au serveur d’applications cryptographiques à partir d’une adresse IP approuvée, par exemple à partir de l’emplacement du guichet automatique ou des bureaux du client.
Selon les informations fournies par BinaryEdgeil y a actuellement dix-huit serveurs d’applications General Bytes Crypto encore exposés à Internet, la majorité étant située au Canada.
On ne sait pas combien de serveurs ont été piratés à l’aide de cette vulnérabilité et combien de crypto-monnaie a été volée.
BleepingComputer a contacté General Bytes hier avec d’autres questions sur l’attaque mais n’a pas reçu de réponse.
