El fabricante de cajeros automáticos de Bitcoin, General Bytes, reveló que actores de amenazas no identificados robaron criptomonedas de billeteras calientes al explotar una falla de seguridad de día cero en su software.
«El atacante pudo cargar su propia aplicación Java de forma remota a través de la interfaz de servicio maestra que utilizan las terminales para cargar videos y ejecutarla con privilegios de usuario ‘batm'», dijo la empresa. dicho en un aviso publicado durante el fin de semana.
«El atacante escaneó el espacio de direcciones IP de alojamiento en la nube de Digital Ocean e identificó la ejecución de servicios CAS en los puertos 7741, incluido el servicio General Bytes Cloud y otros operadores de cajeros automáticos de GB que ejecutan sus servidores en Digital Ocean», agregó.
La compañía dijo que el servidor al que se cargó la aplicación Java maliciosa estaba configurado de forma predeterminada para iniciar las aplicaciones presentes en la carpeta de implementación («/batm/app/admin/standalone/deployments/»).
Al hacerlo, el ataque permitió al actor de amenazas acceder a la base de datos; leer y descifrar claves de API utilizadas para acceder a fondos en monederos calientes e intercambios; enviar fondos desde las billeteras; descargue nombres de usuario, hash de contraseñas y desactive la autenticación de dos factores (2FA); e incluso acceder a los registros de eventos de la terminal.
También advirtió que su propio servicio en la nube, así como los servidores independientes de otros operadores, se infiltraron como resultado del incidente, lo que llevó a la empresa a cerrar el servicio.
Además de instar a los clientes a mantener sus servidores de aplicaciones criptográficas (CAS) detrás de un firewall y una VPN, también recomienda rotar las contraseñas de todos los usuarios y las claves API para los intercambios y las billeteras calientes.
«La corrección de seguridad de CAS se proporciona en dos versiones de parches de servidor, 20221118.48 y 20230120.44», dijo General Bytes en el aviso.
La compañía enfatizó además que había realizado múltiples auditorías de seguridad desde 2021 y que ninguna de ellas señaló esta vulnerabilidad. Parece que no se ha parcheado desde la versión 20210401.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
General Bytes no reveló la cantidad exacta de fondos robados por los piratas informáticos, pero un análisis de las billeteras de criptomonedas utilizadas en el ataque revela la recepción de 56.283 BTC ($ 1,5 millones), 21.823 ETH ($36,500), y 1,219.183 LTC ($96,500).
El hackeo de cajeros automáticos es la segunda violación dirigida a General Bytes en menos de un año, con otra falla de día cero en sus servidores de cajeros automáticos explotada para robar criptografía de sus clientes en agosto de 2022.