General Bytes ยืนยัน! แฮกเกอร์ใช้ประโยชน์จากบั๊กซีโร่เดย์เพื่อขโมยจากตู้ ATM Bitcoin

 

General Bytes ผู้ผลิต Bitcoin ATM ได้โจมตีเซิร์ฟเวอร์ผ่านการโจมตีซีโร่เดย์เมื่อวันที่ 18 สิงหาคม ซึ่งทำให้แฮกเกอร์สามารถตั้งตัวเองเป็นผู้ดูแลระบบเริ่มต้นและแก้ไขการตั้งค่าเพื่อให้เงินทั้งหมดถูกโอนไปยังที่อยู่กระเป๋าเงินของพวกเขา

จำนวนเงินที่ถูกขโมยและจำนวนตู้ ATM ที่ถูกบุกรุกยังไม่ได้รับการเปิดเผย แต่บริษัทได้แนะนำอย่างเร่งด่วนให้ผู้ให้บริการ ATM อัปเดตซอฟต์แวร์ของตน

การแฮ็กนี้ได้รับการยืนยันโดย General Bytes เมื่อวันที่ 18 สิงหาคม ซึ่งเป็นเจ้าของและดำเนินการ Bitcoin ATM 8827 เครื่องที่สามารถเข้าถึงได้ในกว่า 120 ประเทศ บริษัทมีสำนักงานใหญ่ในกรุงปราก สาธารณรัฐเช็ก ซึ่งเป็นสถานที่ผลิตตู้ ATM ด้วย ลูกค้า ATM สามารถซื้อหรือขายได้มากกว่า 40 เหรียญ

ช่องโหว่ดังกล่าวเกิดขึ้นตั้งแต่การปรับเปลี่ยนของแฮ็กเกอร์ได้อัปเดตซอฟต์แวร์ CAS เป็นเวอร์ชัน 20201208 เมื่อวันที่ 18 ส.ค.

General Bytes ได้เรียกร้องให้ลูกค้าละเว้นจากการใช้เซิร์ฟเวอร์ General Bytes ATM ของตน จนกว่าพวกเขาจะอัปเดตเซิร์ฟเวอร์ของตนเป็นแพตช์รีลีส 20220725.22 และ 2020531.38 สำหรับลูกค้าที่ทำงานบน 20220531

ลูกค้ายังได้รับคำแนะนำให้แก้ไขการตั้งค่าไฟร์วอลล์ของเซิร์ฟเวอร์เพื่อให้สามารถเข้าถึงส่วนต่อประสานผู้ดูแลระบบ CAS ได้จากที่อยู่ IP ที่ได้รับอนุญาตเท่านั้น

ก่อนที่จะเปิดใช้งานเทอร์มินัลอีกครั้ง General Bytes ยังเตือนลูกค้าให้ตรวจสอบ “SELL Crypto Setting” เพื่อให้แน่ใจว่าแฮกเกอร์ไม่ได้แก้ไขการตั้งค่าเพื่อให้เงินที่ได้รับจะถูกโอนไปยังพวกเขาแทน (ไม่ใช่ลูกค้า)

General Bytes ระบุว่ามีการตรวจสอบความปลอดภัยหลายครั้งตั้งแต่เริ่มก่อตั้งในปี 2020 ซึ่งไม่มีใครระบุช่องโหว่นี้ได้

การโจมตีเกิดขึ้นได้อย่างไร

ทีมที่ปรึกษาด้านความปลอดภัยของ General Bytes ระบุไว้ในบล็อกว่าแฮกเกอร์ทำการโจมตีช่องโหว่ซีโร่เดย์เพื่อเข้าถึง Crypto Application Server (CAS) ของบริษัทและดึงเงินออกมา

เซิร์ฟเวอร์ CAS จัดการการดำเนินการทั้งหมดของ ATM ซึ่งรวมถึงการดำเนินการซื้อและขาย crypto ในการแลกเปลี่ยนและเหรียญใดที่ได้รับการสนับสนุน

บริษัทเชื่อว่าแฮกเกอร์ “สแกนหาเซิร์ฟเวอร์ที่เปิดเผยซึ่งทำงานบนพอร์ต TCP 7777 หรือ 443 รวมถึงเซิร์ฟเวอร์ที่โฮสต์บนบริการคลาวด์ของ General Bytes”

จากนั้นแฮกเกอร์ก็เพิ่มตัวเองเป็นผู้ดูแลระบบเริ่มต้นของ CAS ชื่อ ‘gb’ จากนั้นจึงดำเนินการแก้ไขการตั้งค่า ‘ซื้อ’ และ ‘ขาย’ เพื่อให้ crypto ใด ๆ ที่ได้รับจาก Bitcoin ATM จะถูกโอนไปยังแฮ็กเกอร์แทน ที่อยู่ Wallet:

“ผู้โจมตีสามารถสร้างผู้ใช้ที่เป็นผู้ดูแลระบบจากระยะไกลผ่านอินเทอร์เฟซการดูแลระบบ CAS ผ่านการเรียก URL บนหน้าเว็บที่ใช้สำหรับการติดตั้งเริ่มต้นบนเซิร์ฟเวอร์และสร้างผู้ใช้ที่เป็นผู้ดูแลระบบรายแรก”

ที่มา : cointelegraph

แท็กที่เกี่ยวข้อง
Facebook
Twitter
LinkedIn