Bilgisayar korsanları, müşterilerden kripto para birimini çalmak için genel bayt Bitcoin ATM sunucularında sıfır gün güvenlik açığından yararlandı.
Müşteriler ATM aracılığıyla kripto para birimi yatırırsa veya satın alırken, fonlar bilgisayar korsanları tarafından sifonlanır
General Bytes, ürüne bağlı olarak insanların 40'tan fazla farklı kripto para satın almasına veya satmasına izin veren Bitcoin ATM'lerinin üreticisidir.
Bitcoin ATM'leri, ATM'nin işlemini yöneten, kripto para birimlerinin desteklendiğini ve borsalar üzerindeki kripto para satın alımlarını ve satışlarını yürüten bir Uzaktan Kripto Uygulama Sunucusu (CAS) tarafından kontrol edilir.
Dün, BleepingComputer, bilgisayar korsanlarının ATM'lerinden Bitcoin'i çaldığını söyleyen bir genel bayt müşterisi tarafından temasa geçildi.
18 Ağustos'ta yayınlanan genel bayt güvenlik danışmanlığına göre, saldırılar şirketin kripto uygulama sunucusunda (CAS) sıfır gün güvenlik açığı kullanılarak gerçekleştirildi.
Genel Bayt Danışmanlığı, "Saldırgan, sunucuda varsayılan kurulum için kullanılan ve ilk yönetim kullanıcısını oluşturan sayfadaki bir URL çağrısı aracılığıyla CAS yönetici arayüzü aracılığıyla bir yönetici kullanıcısı oluşturabildi."
"Bu güvenlik açığı, 20201208 sürümünden beri CAS yazılımında mevcuttur."
General Bytes, tehdit aktörlerinin, Digital Ocean ve General Bytes'in kendi bulut hizmetinde barındırılan sunucular da dahil olmak üzere TCP bağlantı noktalarında 7777 veya 443'te çalışan açık sunucular için interneti taradığına inanıyor.
Tehdit aktörleri daha sonra CAS'a 'GB' adlı varsayılan yönetici kullanıcısı eklemek için hatayı kullandı ve bilgisayar korsanının kontrolü altında bir kripto para cüzdanı kullanmak için 'satın al' ve 'Sat' kripto ayarlarını ve 'geçersiz ödeme adresini değiştirdi.
Tehdit Actos bu ayarları değiştirdikten sonra, CAS tarafından alınan herhangi bir kripto para birimi bilgisayar korsanlarına iletildi.
Güvenlik danışmanlığı, "İki yönlü ATM'ler, müşteriler ATM'ye para gönderdiğinde paraları saldırganın cüzdanına iletmeye başladı."
General Bytes, müşterilere sunucularına 20220531.38 ve 20220725.22 olan iki sunucu yama sürümü uygulayana kadar Bitcoin ATM'lerini çalıştırmamaları konusunda uyarıyor.
Ayrıca, hizmete girmeden önce cihazlarda gerçekleştirilecek adımların bir kontrol listesi sağladılar.
Tehdit aktörlerinin, sunucular sadece güvenilir IP adreslerinden bağlantılara izin vermek için güvenlik duvarı varsa bu saldırıları gerçekleştiremeyeceğini hatırlamak önemlidir.
Bu nedenle, güvenlik duvarlarını yalnızca ATM'nin konumundan veya müşterinin ofislerinden olduğu gibi güvenilir bir IP adresinden kripto uygulama sunucusuna erişim sağlamak için yapılandırmak çok önemlidir.
Binaryedge tarafından sağlanan bilgilere göre, şu anda hala internete maruz kalan on sekiz genel bayt kripto uygulama sunucusu var ve çoğunluğu Kanada'da bulunuyor.
Bu güvenlik açığı kullanılarak kaç sunucunun ihlal edildiği ve ne kadar kripto para biriminin çalındığı belirsizdir.
BleepingComputer dün saldırı hakkında daha fazla soru ile genel baytlarla temasa geçti, ancak yanıt almadı.
CISA, bilgisayar korsanları tarafından sömürülen hataların listesine 7 güvenlik açığı ekler
Google, bu yıl Beşinci Chrome Sıfır Gün Böceğini Düzeltiyor
Yeni MailChimp ihlali maruz kalan DigitalOcean Müşteri E -posta Adresleri
E-posta pazarlama firması kripto odaklı posta listeleri çalmak için hacklendi
Twitter, 5.4 milyon hesaptan verilen verileri ortaya çıkarmak için kullanılan sıfır gününü onaylar
Kaynak: Bleeping Computer