Bitcoin ATM-ek nulladik napi sebezhetőségét kihasználva lopták el az emberek pénzét
Bitcoin ATM gépek szerverének nulladik napi sebezhetőségét kihasználva lopták el mit sem sejtő, kriptovalutájukat készpénzre váltani kívánó ügyfelek pénzét. A hackerek a CAS adminisztrációs felületén keresztül nyúltak bele a rendszerbe és hoztak létre egy admin felhasználót. Ezután konfigurálták a beállításokat és átirányították a tranzakciókat saját tárcájukba.
Nulladik napi sebezhetőség
A nulladik napi sebezhetőség olyan szoftveres hiányosság, amelyet a támadók még azelőtt fedeztek fel, hogy a gyártó tudomást szerzett volna létezéséről. Mivel a gyártók nem tudnak róla, a nulladik napi sebezhetőségekre nem létezik javítás, így a támadások valószínűleg sikeresek lesznek.
A mára széleskörben elterjedt Bitcoin ATM gépeknek számos előnye van. Gyors és egyszerű módon teszik lehetővé bitcoin (és sok más kriptovaluta) vásárlását, illetve ha kétirányú ATM-ről beszélünk, az eladását is. Egyre több és több van belőlük (Magyarországon eddig 48, világszerte több mint 36 000). A legjelentősebb pozitívuma pedig, hogy személyes adatok megadása nélkül vehetőek igénybe (sok esetben elegendő egy mobilszám a tranzakcióhoz).
Azonban mint mindennek, a Bitcoin ATM-eknek is megvannak a hátulütői, amelyek nagyon kellemetlen helyzeteket tudnak okozni. Ilyen például az a napokban történt eset, amikor hackerek a General Bytes Bitcoin ATM szervereinek nulladik napi sebezhetőségét használták ki, hogy kriptovalutát lopjanak az ügyfelektől.
A General Bytes olyan automatákat gyárt, amelyek a terméktől függően több mint 40 különböző kriptovaluta vásárlását vagy eladását teszik lehetővé. A Bitcoin ATM-eket egy távoli Kripto Alkalmazáskiszolgáló (CAS) vezérli, amely kezeli az ATM működését és végrehajtja a kriptovalutás tranzakciókat a tőzsdéken.
A hackerek kihasználták a CAS nulladik napját
Pénteken a General Bytes egyik ügyfele felkereste a BleepingComputert, és azzal üdvözölte, hogy hackerek bitcoint lopnak az ATM-jeikből. A General Bytes augusztus 18-án közzétett biztonsági tájékoztatója szerint a támadásokat a vállalat Crypto Application Server (CAS) nulladik napi sebezhetőségét kihasználva hajtották végre.
„A támadó a CAS adminisztrációs felületén keresztül távolról tudott létrehozni egy admin felhasználót a szerveren történő alapértelmezett telepítéshez használt oldal URL-hívásán és az első adminisztrációs felhasználó létrehozásán keresztül” – olvasható a General Bytes közleményében.
„Ez a sebezhetőség a CAS szoftverben a 20201208-as verzió óta jelen van”.
A General Bytes úgy véli, hogy a támadók 7777-es és 443-as portokon futó fedetlen szerverek után kutattak az interneten, beleértve a Digital Ocean és a General Bytes saját felhőszolgáltatásában elhelyezett szervereket is. A hackerek ezután kihasználták a hibát, hogy egy „gb” nevű alapértelmezett admin felhasználót adjanak hozzá a CAS-hoz. Módosították a „buy”, „sell” és az „érvénytelen fizetési cím” beállításokat, hogy a hacker irányítása alatt álló tárcát használhassák. A változtatások után minden eladott kriptovaluta a hacker tárcájába került.
„Amikor az ügyfelek kriptovalutát adtak el, a kétirányú ATM-ek elkezdték továbbítani az érméket a támadó pénztárcájba” – áll a biztonsági közleményben.
A General Bytes arra figyelmezteti az ügyfeleket, hogy ne üzemeltessék Bitcoin ATM-jeiket, amíg nem alkalmazzák szervereiken a két szerver patch kiadást, a 20220531.38 és a 20220725.22 verziót. Egy ellenőrző listát is mellékeltek az eszközökön végrehajtandó lépésekről, mielőtt újra üzembe helyezik őket.
Meg lehetett volna előzni a támadást
Fontos megjegyeznünk, hogy a hackereknek nem sikerült volna a támadás, ha a szerverek tűzfalai csak a megbízható IP-címekről érkező kapcsolatokat engedélyezik. Ezért létfontosságú, hogy a tűzfalakat úgy konfiguráljuk, hogy csak megbízható IP-címről, például az ATM helyéről vagy az ügyfél irodáiból engedélyezzék a CAS-hoz való hozzáférést.
A BinaryEdge által szolgáltatott információk szerint jelenleg tizennyolc General Bytes Crypto Application Server van még mindig kitéve ugyanennek a veszélynek. Ezek többsége Kanadában található. A feltört szerverek száma és a sebezhetőség kihasználásával ellopott pénz mennyiségéről nincsennek adataink. A BleepingComputer megkereste a General Bytes-t a támadással kapcsolatos további kérdéseivel, de nem kapott választ.