比特币 ATM 制造商 General Bytes 透露,黑客利用其软件中的零日漏洞从热钱包中窃取了加密货币。攻击者能够通过终端用于上传视频的主服务接口远程上传他自己的 Java 程序,并使用 batm 用户权限运行它。
根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,攻击者扫描了 Digital Ocean 云托管 IP 地址空间,并确定在端口 7741 上运行 CAS 服务,包括 General Bytes Cloud 服务和其他在 Digital Ocean 上运行其服务器的 General Bytes ATM 运营商。
恶意 Java 程序上传到的服务器默认配置为启动部署文件夹 /batm/app/admin/standalone/deployments/ 中的应用程序。这使得攻击者可以访问数据库,读取和解密用于访问热钱包和交易所资金的 API 密钥、从钱包种转移资金、下载用户名密码哈希值,并关闭双因素身份验证 (2FA),甚至访问终端事件日志等。
General Bytes已在 149 个国家销售了超过 15137 台ATM终端。它支持超过 180 种法定货币,并在全球范围内总共执行了近 2260 万笔交易。
BATM 旨在连接到加密应用程序服务器 ( CAS ),该服务器通过 DigitalOcean 提供的基础设施在云端进行管理。由于该事件,其自己的云服务以及其他运营商的独立服务器已被渗透,促使该公司关闭了该服务。
除了敦促客户将他们的加密应用程序服务器 (CAS) 置于防火墙和 VPN 之后,它还建议将所有用户的密码和 API 密钥轮换到交易所和热钱包。
CAS 安全修复程序在两个服务器补丁版本 20221118.48 和 20230120.44 中提供,该公司进一步强调,它自 2021 年以来进行了多次安全审计,但没有一次标记出此漏洞。它似乎自版本 20210401 以来一直未打补丁。
General Bytes 没有透露黑客窃取资金的确切金额,但对攻击中使用的加密货币钱包的分析显示收到了 56.283 BTC(150 万美元)、21.823 ETH(36,500美元)和1,219.183 LTC(96,500 美元)。