ハッカーがゼロデイバグを悪用してビットコインATMから暗号通貨を盗む

攻撃者は、General Bytes Bitcoin ATM サーバーのゼロデイ バグを悪用し、これらの ATM を通じてビットコインを購入または入金した顧客から暗号通貨を盗むことができました。

General Bytes は現在、世界中で 9,000 台以上の暗号通貨 ATM を設置している最大規模のビットコイン、ブロックチェーン、暗号通貨 ATM メーカーの 1 つです。この製品に基づいて、人々は 40 以上の異なる暗号通貨を購入、取引、または預け入れることができます。

同社が製造するビットコインATMはリモコンで制御されている暗号化アプリケーションサーバー(CAS) は、サポートされている暗号通貨、取引所でのリアルタイムの暗号通貨の売買、取引用のコインの追加または上場の削除など、ATM の操作全体を管理します。

勧告General Bytes が 8 月 18 日に公開した記事で、同社はゼロデイ欠陥の存在を認め、攻撃者が CAS 管理インターフェイスのセキュリティ脆弱性を悪用したと述べました。

「攻撃者は、サーバー上のデフォルトのインストールと最初の管理ユーザーの作成に使用されるページでの URL 呼び出しを介して、CAS 管理インターフェイスを介してリモートで管理ユーザーを作成できました。この脆弱性はバージョン 20201208 以降 CAS ソフトウェアに存在しています」と General Bytes アドバイザリには記載されています。

General Bytes は、ハッカーが Digital Ocean のクラウド ホスティング IP アドレス空間をスキャンし、ポート 7777 または 443 で実行中の CAS サービス (Digital Ocean および General Bytes 独自のクラウド サービスでホストされているサーバーを含む) を特定したと考えています。

このセキュリティの脆弱性を利用して、攻撃者は新しいデフォルトの管理者ユーザー、組織、端末を作成しました。その後、彼らは CAS インターフェイスにアクセスし、デフォルトの管理者ユーザーの名前を「gb」に変更し、ウォレット設定と「無効な支払いアドレス」設定を使用して双方向マシンの暗号化設定を変更しました。

これらの変更された設定により、攻撃者は CAS が受け取った暗号通貨をウォレットに転送することが可能になりました。 「顧客がATMにコインを送金すると、双方向ATMは攻撃者のウォレットにコインを転送し始めた」とセキュリティ勧告では説明されている。

同社は、2020年の設立以来、複数のセキュリティ監査を実施したが、いずれも脆弱性を特定できなかったと述べた。この攻撃は、同社がATMにウクライナ支援機能を搭載すると公表してから3日後に発生したと付け加えた。

General Bytes は、攻撃者はホスト オペレーティング システム、ホスト ファイル システム、データベース、またはパスワード、パスワード ハッシュ、ソルト、秘密キー、API キーにはアクセスしていないと主張しています。

同社は、2 つのサーバー パッチ リリース 20220531.38 および 20220725.22 で CAS セキュリティ修正を提供しました。 20220531を実行している顧客に対し、サーバーに上記のパッチリリースをインストールするまでビットコインATMの操作を控えるよう呼び掛けている。

同社はまた、手順のチェックリストこれらはサービスを使用する前にデバイス上で実行する必要があります。

さらに、サーバーのファイアウォール設定これにより、CAS 管理インターフェイスには、ATM の場所や顧客のオフィスなど、承認された IP アドレスからのみアクセスできるようになります。

現在、18 個の General Bytes Crypto Application Server が依然としてインターネットに公開されており、ゼロデイ エクスプロイトに対して脆弱である可能性があります。これらの公開されたサーバーの大部分はカナダにあります。

ゼロデイ脆弱性によって何台のサーバーが侵害され、これまでにどれだけの暗号通貨が盗まれたかは不明だ。