比特幣 ATM 制造商 General Bytes 透露,黑客利用其軟件中的零日漏洞從熱錢包中竊取了加密貨幣。攻擊者能夠通過終端用于上傳視頻的主服務接口遠程上傳他自己的 Java 程序,并使用 batm 用戶權限運行它。
根據中國網絡安全行業門戶極牛網(GeekNB.com)的梳理,攻擊者掃描了 Digital Ocean 云托管 IP 地址空間,并確定在端口 7741 上運行 CAS 服務,包括 General Bytes Cloud 服務和其他在 Digital Ocean 上運行其服務器的 General Bytes ATM 運營商。
惡意 Java 程序上傳到的服務器默認配置為啟動部署文件夾 /batm/app/admin/standalone/deployments/ 中的應用程序。這使得攻擊者可以訪問數據庫,讀取和解密用于訪問熱錢包和交易所資金的 API 密鑰、從錢包種轉移資金、下載用戶名密碼哈希值,并關閉雙因素身份驗證 (2FA),甚至訪問終端事件日志等。
General Bytes已在 149 個國家銷售了超過 15137 臺ATM終端。它支持超過 180 種法定貨幣,并在全球范圍內總共執行了近 2260 萬筆交易。
BATM 旨在連接到加密應用程序服務器 ( CAS ),該服務器通過 DigitalOcean 提供的基礎設施在云端進行管理。由于該事件,其自己的云服務以及其他運營商的獨立服務器已被滲透,促使該公司關閉了該服務。
除了敦促客戶將他們的加密應用程序服務器 (CAS) 置于防火墻和 VPN 之后,它還建議將所有用戶的密碼和 API 密鑰輪換到交易所和熱錢包。
CAS 安全修復程序在兩個服務器補丁版本 20221118.48 和 20230120.44 中提供,該公司進一步強調,它自 2021 年以來進行了多次安全審計,但沒有一次標記出此漏洞。它似乎自版本 20210401 以來一直未打補丁。
General Bytes 沒有透露黑客竊取資金的確切金額,但對攻擊中使用的加密貨幣錢包的分析顯示收到了 56.283 BTC(150 萬美元)、21.823 ETH(36,500美元)和1,219.183 LTC(96,500 美元)。
一顆小胡椒
一顆小胡椒
007bug
Anna艷娜
安全牛
ManageEngine卓豪
Anna艷娜
Anna艷娜
FreeBuf
安全俠
Andrew
