Le fabricant de guichets automatiques Bitcoin, General Bytes, a confirmé qu’il avait été victime d’une cyberattaque qui exploitait une faille jusque-là inconnue dans son logiciel pour piller la crypto-monnaie de ses utilisateurs.
« L’attaquant a pu créer un utilisateur administrateur à distance via l’interface d’administration CAS via un appel d’URL sur la page utilisée pour l’installation par défaut sur le serveur et créer le premier utilisateur d’administration », a déclaré la société. a dit dans un avis la semaine dernière. « Cette vulnérabilité est présente dans le logiciel CAS depuis la version 2020-12-08. »
On ne sait pas immédiatement combien de serveurs ont été piratés à l’aide de cette faille et combien de crypto-monnaie a été volée.
CAS est l’abréviation de Serveur d’applications cryptographiquesun produit auto-hébergé de General Bytes qui permet aux entreprises de gérer Bitcoin ATM (BATM) machines à partir d’un emplacement central via un navigateur Web sur un ordinateur de bureau ou un appareil mobile.
La faille zero-day, qui concernait un bogue dans l’interface d’administration CAS, a été atténuée dans deux versions de correctifs de serveur, 20220531.38 et 20220725.22.
General Bytes a déclaré que l’acteur de la menace anonyme a identifié l’exécution des services CAS sur les ports 7777 ou 443 en analysant l’espace d’adressage IP de l’hébergement cloud DigitalOcean, puis en abusant de la faille pour ajouter un nouvel utilisateur administrateur par défaut nommé « gb » au CAS.
« L’attaquant a modifié les paramètres cryptographiques des machines bidirectionnelles avec les paramètres de son portefeuille et le paramètre » adresse de paiement invalide « », a-t-il déclaré. « Les guichets automatiques bidirectionnels ont commencé à transférer des pièces vers le portefeuille de l’attaquant lorsque les clients ont envoyé des pièces à [the] AU M. »
En d’autres termes, le but de l’attaque était de modifier les paramètres de manière à ce que tous les fonds soient transférés vers une adresse de portefeuille numérique sous le contrôle de l’adversaire.
La société a également souligné qu’elle avait mené « de multiples audits de sécurité » depuis 2020 et que cette lacune n’avait jamais été identifiée, ajoutant que l’attaque s’était produite trois jours après avoir annoncé publiquement un « Aidez l’Ukraine » sur ses guichets automatiques.