Hackers explotaron un dia cero para robar criptomonedas de cajeros automáticos de Bitcoin
Los hackers explotaron una vulnerabilidad de día cero en los servidores de los cajeros automáticos de Bitcoin de General Bytes para robar criptomonedas de los clientes.
Cuando los clientes depositaron o compraron criptomonedas a través del cajero automático, los hackers desviaron los fondos.
General Bytes es el fabricante de cajeros automáticos de Bitcoin que, según el producto, permiten a las personas comprar o vender más de 40 criptomonedas diferentes.
Los cajeros automáticos de Bitcoin están controlados por un Crypto Application Server (CAS) remoto. CAS administra el funcionamiento del cajero automático, qué criptomonedas son compatibles y ejecuta las compras y ventas de criptomonedas en los exchanges.
Hackers aprovecharon el día cero de CAS
El pasado viernes, un cliente de General Bytes reveló que ciberdelincuentes estaban robando bitcoins de sus cajeros automáticos.
Según un aviso de seguridad de General Bytes publicado el 18 de agosto, los ataques se realizaron utilizando una vulnerabilidad de día cero (zero-day) en el servidor de aplicaciones de criptomonedas (CAS) de la empresa.
“El atacante pudo crear un usuario administrador de forma remota a través de la interfaz administrativa de CAS por medio de una llamada URL en la página que se usa para la instalación predeterminada en el servidor y la creación del primer usuario administrador”.
“Esta vulnerabilidad ha estado presente en el software de CAS desde la versión 20201208”.
Declaraciones en el aviso de General Bytes
General Bytes cree que los atacantes escanearon Internet en busca de servidores expuestos que se ejecutan en los puertos TCP 7777 o 443. Esto incluyó los servidores alojados en Digital Ocean y el propio servicio en la nube de General Bytes.
Luego, los atacantes explotaron la vulnerabilidad para agregar un usuario administrador predeterminado llamado ‘gb’ al CAS. Además, modificaron la configuración de criptomonedas de ‘comprar’ y ‘vender’ y la ‘dirección de pago no válida’ para usar una billetera de criptomonedas bajo el control de los hackers.
Una vez que los atacantes modificaron esta configuración, cualquier criptomoneda recibida por CAS fue reenviada a los hackers.
Robo de criptomonedas
“Los cajeros automáticos bidireccionales comenzaron a reenviar criptomonedas a la billetera del atacante cuando los clientes enviaban criptomonedas al cajero automático”.
Aviso de seguridad.
En otras palabras, el objetivo del ataque era modificar la configuración de tal manera que todos los fondos se transfirieran a una billetera digital bajo el control del atacante.
Es importante recordar que los atacantes no habrían podido realizar estos ataques si los servidores estuvieran protegidos con firewall para permitir solo conexiones desde direcciones IP confiables.
Por lo tanto, es vital configurar firewalls para permitir solo el acceso al servidor de aplicaciones de criptomonedas desde una dirección IP confiable. Por ejemplo, desde la ubicación del cajero automático o las oficinas del cliente.
Según la información proporcionada por BinaryEdge, actualmente hay dieciocho servidores de aplicaciones de criptomonedas de General Bytes que aún están expuestos a Internet. La mayoría de estos están ubicados en Canadá.
No está claro cuántos servidores fueron comprometidos con esta vulnerabilidad y cuántas criptomonedas se robaron.
Sin embargo, General Bytes afirmó que el atacante no pudo obtener acceso al sistema operativo del host, al sistema de archivos, a la base de datos ni a ninguna contraseña, hash de contraseña, salt, clave privada o clave API.
Contramedidas
General Bytes advirtió a los clientes que no operen sus cajeros automáticos de Bitcoin hasta que hayan aplicado dos versiones de parches para sus servidores, 20220531.38 y 20220725.22.
También proporcionaron la siguiente lista de verificación de los pasos a realizar en los dispositivos antes de volver a ponerlos en servicio:
1. Detener el servicio de administrador y master.
2. Actualizar el servidor a 20220725.22. Para los clientes que se ejecutan en 20220531, la empresa también recomendó la corrección a la versión de parche 20220531.38.
3. Modificar la configuración del firewall del servidor. Asegúrate de que la interfaz de administración de CAS que se ejecuta en los puertos TCP 7777 o 443 solo sea accesible desde las direcciones IP en las que confías, como tu oficina o tu hogar.
4. Iniciar el servicio de administración.
5. Ingresar a la interfaz del CAS y desactivar todas sus terminales para evitar cualquier venta en las máquinas. Alternativamente, puedes desactivar solo máquinas bidireccionales.
6. Revisar todos los usuarios del CAS. Y sus permisos y grupos. Asegúrate de que solo los usuarios en los que confías tengan permisos de administración. Si fuiste vulnerado, es posible que encuentres un usuario llamado ‘gb’ en la lista. Si es así, debes eliminar cualquier usuario de este tipo. Además, debes verificar las direcciones de correo electrónico de todos los usuarios del CAS.
7. Restablecer todas las contraseñas de usuario. (Excepto la tuya)
8. Revisar tu configuración de criptomonedas. Asegúrate de ejecutar las pruebas de configuración de criptomonedas para verificar que tus direcciones y estrategias sean correctas. El atacante podría haber cambiado tu configuración de “vender criptomonedas” para recibir criptomonedas de los clientes en su billetera.
9. Revisar que el atacante no haya agregado terminales. Si fue vulnerado, es posible que encuentres BT123456.
10. Activar las terminales.
11. General Bytes dijo que, en caso de que haya una infracción, debes revisar admin.log, donde puedes encontrar más detalles sobre la actividad del atacante. Debes buscar actividad alrededor del mensaje “Servidor activado”.
Vulnerabilidad desapercibida
La compañía enfatizó que había realizado “múltiples auditorías de seguridad” desde 2020 y que esta vulnerabilidad nunca se identificó. Además, agregó que el ataque ocurrió tres días después de que anunciara públicamente una función de “Ayuda a Ucrania” en sus cajeros automáticos.
Hasta el cierre de esta nota, General Bytes no ha respondido más preguntas relacionadas con el incidente.
