加密貨幣ATM 製造商General Bytes 在黑客利用其比特幣ATM 服務器中的零日漏洞後面臨挫折。攻擊者能夠通過CAS 管理界面遠程創建一個管理員用戶,並設法從他們的錢包地址中騙取投資者的錢。黑客能夠識別管理界面中的安全漏洞。此外,作為安全預防措施,該公司已停用GB Cloud 上的2 路BATM。
根據8 月18 日的General Bytes 更新,攻擊者通過CAS 管理界面通過URL 調用遠程創建了一個管理員用戶,該頁面用於服務器上的默認安裝,並創建了第一個管理用戶。
此外,黑客還掃描了託管IP 地址空間的Digital Ocean 雲,並確定了端口7777 或443 上正在運行的CAS 服務。
值得注意的是,該公司的通用字節雲服務和其他GB 自動櫃員機 以Digital Ocean 身份運行服務器的運營商是推薦的雲託管服務提供商。
它說,“這個漏洞從20201208 版本開始就存在於CAS 軟件中。”
利用這個安全漏洞,黑客能夠創建一個新的默認管理員用戶、組織和終端。他們訪問了CAS 界面並將默認管理員用戶重命名為“gb”。
此外,黑客還修改了 加密貨幣 用他的錢包設置和“無效的付款地址”設置的雙向機器的設置。此後,當客戶將硬幣發送到ATM 時,雙向ATM 開始將硬幣轉發到攻擊者的錢包。
“自2020 年以來,我們完成了多項安全審計,但沒有一個發現此漏洞。攻擊是在我們公開宣布ATM 上的幫助烏克蘭功能後的第三天,”General Bytes 說。
然而,General Bytes 還透露,攻擊者無法訪問主機操作系統、文件系統、數據庫以及任何密碼、密碼哈希、鹽、私鑰或API 密鑰。
General Bytes 已要求投資者不要操作他們的GB ATM 服務器,除非他們已實施以下解決方案。
第1 步- 停止管理員和主服務。
第2 步- 將您的服務器升級到20220725.22。對於在20220531 上運行的客戶,該公司還將修復移植到補丁版本20220531.38。
第3 步- 修改您的服務器防火牆設置。確保您在TCP 端口7777 或443 上運行的CAS 管理界面只能從您信任的IP 地址訪問- 例如您的辦公室或您的家。
第4 步- 啟動管理服務。
第5 步- 進入CAS 界面並停用所有終端以防止機器上的任何銷售。或者,您可以只停用雙向機器。
第6 步- 查看所有CAS 用戶。以及他們的權限和組。確保只有您信任的用戶才具有管理權限。如果您遭到破壞,您可能會發現列出了一個名為“gb”的用戶。如果是這樣,請刪除任何此類用戶。此外,檢查人員上所有CAS 用戶的電子郵件地址。
第7 步- 重置所有用戶密碼。 (除了你自己的)
第8 步- 檢查您的加密設置。確保您運行加密設置測試以驗證您的加密地址和策略是否正確。攻擊者可能已經更改了您的SELL Crypto 設置,以便將客戶的硬幣接收到他的錢包中。
第9 步- 檢查攻擊者是否添加了終端。如果您遭到破壞,您可能會發現BT123456。
第10 步- 激活終端。
第11 步- General Bytes 說,如果您被入侵,請查看admin.log,您可能會在其中找到有關攻擊者活動的更多詳細信息。圍繞消息“服務器已激活”搜索活動。