Les pirates ont exploité une vulnérabilité zero-day dans les serveurs Bitcoin ATM de General Byte pour voler la crypto-monnaie des clients.

Plusieurs guichets automatiques General Bytes bitcoin ont été infectés par une vulnérabilité zero-day qui permet aux pirates de voler les crypto-monnaies déposées par les utilisateurs. BleepingComputer en a rendu compte.

Récemment, un groupe de pirates anonymes a utilisé un exploit zero-day dans les serveurs Bitcoin ATM de General Byte pour voler des BTC à plusieurs clients. Une fois que les clients achètent ou déposent des bitcoins via ces guichets automatiques, la vulnérabilité du jour zéro permet aux pirates de détourner les fonds vers leurs propres portefeuilles.

General Bytes est l’un des plus grands fabricants de guichets automatiques de crypto-monnaie. Il existe actuellement près de neuf mille guichets automatiques cryptographiques installés dans le monde, permettant d’acheter, de vendre ou de déposer plus de 40 crypto-monnaies différentes. Ces guichets automatiques sont contrôlés par un Crypto Application Server (CAS) distant. Les serveurs gèrent directement toutes les opérations de l’appareil, y compris le traitement en temps réel des achats et des ventes de crypto-monnaie.

Les pirates exploitent CAS zero-day

GeneralBytes a confirmé l’exploitation d’une vulnérabilité de serveur qui a entraîné des temps d’arrêt et le vol de Bitcoin sur certains de ses guichets automatiques Bitcoin. En conséquence, les attaquants ont apparemment pu créer à distance un compte d’utilisateur administrateur via le panneau d’administration du CAS. Ils ont exploité une vulnérabilité qui existait et passait inaperçue jusqu’à présent.

« Un attaquant a pu créer un utilisateur administratif via l’interface d’administration CAS via un appel d’URL sur la page utilisée pour l’installation par défaut sur le serveur et la création du premier utilisateur administratif.

Cette vulnérabilité est présente dans le logiciel CAS depuis la version 20201208. »

Après avoir créé le faux compte administrateur, surnommé « gb », les pirates ont pu modifier les paramètres « acheter » et « vendre » sur les serveurs ATM et rediriger les paiements vers un portefeuille de crypto-monnaie externe qu’ils contrôlaient.

Selon la société, cette vulnérabilité est présente dans le logiciel CAS depuis la version précédente. L’équipe de General Bytes pense que les pirates ont parcouru Internet à la recherche de serveurs exposés fonctionnant sur les ports TCP 443 ou 7777. Ceux-ci incluent des serveurs hébergés par Digital Ocean et le propre service cloud de General Bytes.

General Bytes a par la suite averti ses clients de ne pas utiliser leurs guichets automatiques Bitcoin tant qu’ils n’auront pas appliqué deux correctifs de serveur mis à jour. Dix-huit serveurs sont actuellement affectés par General Bytes, qui pourrait être vulnérable à un exploit zero-day. La majorité de ces serveurs exposés sont situés au Canada. En outre, General Bytes a également fourni une liste de contrôle des étapes que les utilisateurs doivent suivre lors de l’utilisation de leurs services.