黑客利用0day,从General Bytes比特币ATM盗走150万美元
编译:代码卫士
领先的比特币ATM制造商 General Bytes 披露称,黑客利用位于该公司BATM管理平台上的一个0day,窃取了公司和客户的密币。
General Bytes 允许比特币ATM 购买或出售超过40个密币。客户可使用单独的管理服务器或General Bytes云服务部署其ATM。上周末,该公司披露称,黑客利用0day即BATM-4780 通过ATM的主服务接口上传了一款Java应用并以 “batm” 用户权限运行。
General Bytes 在安全事件披露中解释称,“攻击者扫描了Digital Ocean云托管IP地址空间并在端口7741上发现了所运行的CAS服务,包括General Bytes Cloud服务和其它GB ATM在Digital Ocean(我们所推荐的云托管提供商)上运行服务器。”
General Bytes 公司在社交媒体推特上督促客户“立即采取措施”,安装最新更新,保护服务器和资金免受攻击。上传Java应用后,威胁行动者能够在受陷设备上执行如下操作:
能够访问数据库
能够读取并解密用于访问热钱包和交易所中资金的API密钥
从热钱包中发送资金
下载用户名称、密码哈希并关闭2FA
能够访问终端事件日志并扫描客户用于扫描ATM私钥的任何实例。ATM软件的老旧版本正在记录该信息。
General Bytes 公司提醒称,客户及其云服务受攻陷。该公司在声明中强调称,“GENERAL BYTES Cloud 服务及其他操作人员的服务器遭攻陷。”该公司披露了攻击者所盗取的金额,还提供了该黑客在攻击过程中所使用的密币地址。这些地址显示,攻击者从3月17日开始从比特币ATM服务器上窃取密币,其比特币地址获得56.28570959 个BTC(折合约158.9万美元)和21.79436191个以太坊,价值约3.9万美元。
虽然该比特币钱包中仍然包含被盗密币,但攻击者似乎使用Uniswap将被盗以太坊转换为USDT。
建议CAS (Crypto Application Server) 管理员及时检查 “master.log” 和 “admin.log” 日志文件中,是否存在因攻击者删除日志条目隐藏其操作的任何可疑问题。
General Byte 公司的报告还提醒称,所上传的恶意JAVA应用将在 "/batm/app/admin/standalone/deployments/" 文件夹中显示为 random-named.war和 .war.deployed 文件。该公司指出,这些文件名称可能对于每个受害者来说并不相同。未发现受陷迹象的客户仍应以所有CAS密码及API密钥受陷的情况处理,并立即更新。应该重置所有用户密码。该公司在声明中还提供了如何保护端点的详细步骤。
General Bytes 公司表示正在关闭云服务,因为发现当必须同时提供对多个运营商的访问权限时,“从理论上(和实践上)无法”确保云服务免遭恶意攻击。该公司将为希望安装自身单独CAS的客户提供数据迁移支持,目前这些CAS应当已受防火墙和VPN保护。
General Byte公司还发布了CAS 安全修复方案修复该漏洞,两个补丁分别在20221118.48和20230120.44中。另外该公司还强调称,被攻陷系统在2021年就经历了多轮安全审计,但并未找到该漏洞。此外,Kraken密币交易所的研究人员还在2021年从General Bytes 的ATM中发现了多个漏洞。然而,尽管经历了这些安全审计,但该公司在2022年8月遭攻击,黑客利用ATM服务器中的0day窃取客户的密币。该公司计划请多家公司在短期内对产品开展多轮安全审计,在恶意攻击者之前找到并修复其它潜在缺陷。
https://www.bleepingcomputer.com/news/security/general-bytes-bitcoin-atms-hacked-using-zero-day-15m-stolen/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。