Peretas telah mengeksploitasi kerentanan zero-day di server ATM General Bytes Bitcoin untuk mencuri cryptocurrency dari pelanggan.
Ketika pelanggan akan menyetor atau membeli cryptocurrency melalui ATM, dana tersebut malah akan disedot oleh peretas
General Bytes adalah produsen ATM Bitcoin yang, bergantung pada produknya, memungkinkan orang untuk membeli atau menjual lebih dari 40 mata uang kripto yang berbeda.
ATM Bitcoin dikendalikan oleh Server Aplikasi Kripto (CAS) jarak jauh, yang mengelola operasi ATM, mata uang kripto apa yang didukung, dan melakukan pembelian dan penjualan mata uang kripto di bursa.
Peretas mengeksploitasi CAS zero-day
Kemarin, BleepingComputer dihubungi oleh pelanggan General Bytes yang memberi tahu kami bahwa peretas mencuri bitcoin dari ATM mereka.
“Kerentanan ini telah hadir dalam perangkat lunak CAS sejak versi 20201208.”
General Bytes percaya bahwa pelaku ancaman memindai internet untuk server terbuka yang berjalan pada port TCP 7777 atau 443, termasuk server yang dihosting di Digital Ocean dan layanan cloud General Bytes sendiri.
Pelaku ancaman kemudian mengeksploitasi bug untuk menambahkan pengguna admin default bernama ‘gb’ ke CAS dan memodifikasi pengaturan crypto ‘beli’ dan ‘jual’ dan ‘alamat pembayaran tidak valid’ untuk menggunakan dompet cryptocurrency di bawah kendali peretas.
Setelah tindakan ancaman mengubah pengaturan ini, setiap cryptocurrency yang diterima oleh CAS diteruskan ke peretas sebagai gantinya.
“ATM dua arah mulai meneruskan koin ke dompet penyerang ketika pelanggan mengirim koin ke ATM,” jelas penasihat keamanan.
General Bytes memperingatkan pelanggan untuk tidak mengoperasikan ATM Bitcoin mereka sampai mereka menerapkan dua rilis patch server, 20220531.38 dan 20220725.22, di server mereka.
Mereka juga menyediakan daftar periksa langkah-langkah yang harus dilakukan pada perangkat sebelum digunakan kembali.
Penting untuk diingat bahwa pelaku ancaman tidak akan dapat melakukan serangan ini jika server di-firewall hanya untuk mengizinkan koneksi dari alamat IP tepercaya.
Oleh karena itu, sangat penting untuk mengonfigurasi firewall hanya untuk mengizinkan akses ke Server Aplikasi Kripto dari alamat IP tepercaya, seperti dari lokasi ATM atau kantor pelanggan.
Menurut informasi yang diberikan oleh BinaryEdge, saat ini ada delapan belas Server Aplikasi Crypto Bytes Umum yang masih terhubung ke Internet, dengan mayoritas berlokasi di Kanada.
Tidak jelas berapa banyak server yang dilanggar menggunakan kerentanan ini dan berapa banyak cryptocurrency yang dicuri.
BleepingComputer menghubungi General Bytes kemarin dengan pertanyaan lebih lanjut tentang serangan itu tetapi tidak menerima tanggapan.
Sumber: BleepingComputer
