de
Zurück zur Liste

Hacker nutzen "Zero-Day-Schwachstelle" aus: Bitcoin-Geldautomaten von General Bytes kompromittiert

source-logo  de.cointelegraph.com 22 August 2022 06:50, UTC

Der Bitcoin-Geldautomatenhersteller General Bytes wurde am 18. August Opfer eines sogenannten Zero-Day-Angriffs. Hacker konnten sich so selbst zum Standardadministrator machen und die Einstellungen so ändern, dass jegliches Geld an ihre Wallet-Adresse überwiesen wurde.

Wie viel Geld insgesamt gestohlen und wie viele Geldautomaten kompromittiert wurden, wurde nicht bekannt gegeben. Aber das Unternehmen hat den Geldautomatenbetreibern dringend geraten, ihre Software zu aktualisieren.

Der Hack wurde am 18. August von General Bytes bestätigt. Das Unternehmen betreibt 8.827 Bitcoin-Geldautomaten in über 120 Ländern. Der Hauptsitz des Unternehmens befindet sich in der tschechischen Hauptstadt Prag, wo auch die Geldautomaten hergestellt werden. Geldautomat-Kunden können über 40 Coins kaufen oder verkaufen.

Die Sicherheitslücke besteht, seit der Hacker die CAS-Software am 18. August auf die Version 20201208 aktualisiert hat.

General Bytes hat seine Kunden gewarnt, ihre General Bytes ATM-Server nicht zu verwenden, bis sie ihre Server auf die Patch-Versionen 20220725.22 oder 20220531.38 aktualisiert haben.

Den Kunden wurde außerdem nahegelegt, ihre Server-Firewall-Einstellungen so zu ändern, dass der Zugriff auf die CAS-Admin-Oberfläche nur von autorisierten IP-Adressen möglich ist.

Vor der Reaktivierung der Terminals erinnerte General Bytes seine Kunden auch daran, das "SELL Crypto Setting" zu überprüfen, um sicherzustellen, dass die Hacker die Einstellungen nicht verändert haben, so dass alles empfangene Geld an die Hacker (und nicht an die Kunden) überwiesen werden.

General Bytes erklärte, seit seiner Gründung im Jahr 2020 seien mehrere Sicherheitsprüfungen durchgeführt worden, bei denen diese Schwachstelle nicht gefunden wurde.

Wie lief der Angriff ab?

Die Sicherheitsberater von General Bytes erklärten in einem Blog, dass die Hacker eine Zero-Day-Schwachstelle ausgenutzt hätten, um sich Zugang zum Crypto Application Server (CAS) des Unternehmens zu verschaffen und das Geld zu stehlen.

Der CAS-Server verwaltet den gesamten Betrieb des Geldautomaten, darunter auch die Ausführung des Kaufs und Verkaufs von Kryptowährungen an Börsen und der angebotenen Coins.

Das Unternehmen glaubt, dass die Hacker "nach ungeschützten Servern gesucht haben, die auf den TCP-Ports 7777 oder 443 laufen, darunter auch Server, die auf dem eigenen Cloud-Service von General Bytes gehostet werden".

Von dort aus klinkten sich die Hacker als Standard-Administrator des CAS mit dem Namen gb ein und änderten dann die Kauf- und Verkaufseinstellungen so, dass alle Kryptowährungen, die der Bitcoin-Automat erhielt, stattdessen an die Wallet-Adresse des Hackers übertragen wurden:

"Der Angreifer konnte einen Admin-Benutzer aus der Ferne über die CAS-Administrationsschnittstelle über einen URL-Aufruf auf der Seite erstellen, die für die Standardinstallation auf dem Server und die Erstellung des ersten Administrationsbenutzers verwendet wird."
de.cointelegraph.com