El fabricante de cajeros automáticos de Bitcoin, General Bytes, confirmó que fue víctima de un ciberataque que explotó una falla previamente desconocida en su software para robar criptomonedas a sus usuarios.
«El atacante pudo crear un usuario administrador de forma remota a través de la interfaz administrativa de CAS a través de una llamada URL en la página que se usa para la instalación predeterminada en el servidor y la creación del primer usuario administrador», dijo la empresa. dijo en un aviso la semana pasada. «Esta vulnerabilidad ha estado presente en el software CAS desde la versión 2020-12-08».
No está claro de inmediato cuántos servidores se violaron con esta falla y cuánta criptomoneda se robó.
CAS es la abreviatura de Servidor de aplicaciones criptográficasun producto autohospedado de General Bytes que permite a las empresas administrar cajeros automáticos de Bitcoin (BATM) máquinas desde una ubicación central a través de un navegador web en una computadora de escritorio o un dispositivo móvil.
La falla de día cero, que se refería a un error en la interfaz de administración de CAS, se ha mitigado en dos versiones de parches del servidor, 20220531.38 y 20220725.22.
General Bytes dijo que el actor de amenazas sin nombre identificó la ejecución de servicios CAS en los puertos 7777 o 443 al escanear el espacio de direcciones IP de alojamiento en la nube de DigitalOcean, y luego abusó de la falla para agregar un nuevo usuario administrador predeterminado llamado «gb» al CAS.
«El atacante modificó la configuración criptográfica de las máquinas bidireccionales con la configuración de su billetera y la configuración de ‘dirección de pago no válida'», dijo. «Los cajeros automáticos bidireccionales comenzaron a reenviar monedas a la billetera del atacante cuando los clientes enviaban monedas a [the] CAJERO AUTOMÁTICO.»
En otras palabras, el objetivo del ataque era modificar la configuración de tal manera que todos los fondos se transfirieran a una dirección de billetera digital bajo el control del adversario.
La compañía también enfatizó que había realizado «múltiples auditorías de seguridad» desde 2020 y que esta deficiencia nunca se identificó, y agregó que el ataque ocurrió tres días después de que anunciara públicamente un «Ayuda a Ucrania» función en sus cajeros automáticos.