Vous ne le sauriez pas en visitant le site Web principal de l’entreprise, mais General Bytes, une société tchèque qui vend des guichets automatiques Bitcoin, exhorte ses utilisateurs à corrigez un bogue critique qui draine de l’argent dans son logiciel serveur.

La société revendique des ventes mondiales de plus de 13 000 guichets automatiques, qui coûtent 5 000 $ et plus, selon les caractéristiques et l’apparence.

Tous les pays n’ont pas apprécié les guichets automatiques de crypto-monnaie – le régulateur britannique, par exemple, a averti en mars 2022 qu’aucun des guichets automatiques opérant dans le pays à l’époque n’était officiellement enregistré, et a déclaré qu’il serait « contacter les opérateurs pour ordonner l’arrêt des machines ».

Nous sommes allés vérifier sur notre guichet automatique crypté local à l’époque et nous l’avons trouvé affichant un message «Terminal hors ligne». (L’appareil a depuis été retiré du centre commercial où il était installé.)

Néanmoins, General Bytes affirme servir des clients dans plus de 140 pays, et sa carte mondiale des emplacements ATM montre une présence sur tous les continents à l’exception de l’Antarctique.

Publicité
Table des matières hide
1 Incident de sécurité signalé
2 Indicateurs de compromis
3 Que faire?

Incident de sécurité signalé

Selon la base de connaissances du produit General Bytes, un « incident de sécurité » d’un niveau de gravité de Le plus élevé a été découvert la semaine dernière.

Selon les propres mots de l’entreprise :

L’attaquant a pu créer un utilisateur administrateur à distance via l’interface d’administration CAS via un appel d’URL sur la page utilisée pour l’installation par défaut sur le serveur et créer le premier utilisateur d’administration.

Autant qu’on puisse dire, CAS est l’abréviation de Serveur de guichet automatique à pièceset chaque opérateur de guichets automatiques à crypto-monnaie General Bytes en a besoin.

Vous pouvez héberger votre CAS où vous voulez, semble-t-il, y compris sur votre propre matériel dans votre propre salle de serveurs, mais General Bytes a un accord spécial avec la société d’hébergement Digital Ocean pour une solution cloud à faible coût. (Vous pouvez également laisser General Bytes exécuter le serveur pour vous dans le cloud en échange d’une réduction de 0,5 % de toutes les transactions en espèces.)

Selon le rapport d’incident, les attaquants ont effectué une analyse des ports des services cloud de Digital Ocean, à la recherche de services Web d’écoute (ports 7777 ou 443) qui se sont identifiés comme des serveurs General Bytes CAS, afin de trouver une liste de victimes potentielles.

Notez que la vulnérabilité exploitée ici n’était pas due à Digital Ocean ou limitée aux instances CAS basées sur le cloud. Nous supposons que les attaquants ont simplement décidé que Digital Ocean était un bon endroit pour commencer à chercher. N’oubliez pas qu’avec une connexion Internet à très haut débit (par exemple 10 Gbit/s) et en utilisant des logiciels disponibles gratuitement, des attaquants déterminés peuvent désormais analyser l’intégralité de l’espace d’adressage Internet IPv4 en quelques heures, voire quelques minutes. C’est ainsi que fonctionnent les moteurs de recherche de vulnérabilité publique tels que Shodan et Censys, parcourant continuellement Internet pour découvrir quels serveurs et quelles versions sont actuellement actifs à quels emplacements en ligne.

Apparemment, une vulnérabilité dans le CAS lui-même a permis aux attaquants de manipuler les paramètres des services de crypto-monnaie de la victime, notamment :

  • Ajout d’un nouvel utilisateur avec des privilèges administratifs.
  • Utiliser ce nouveau compte administrateur pour reconfigurer les guichets automatiques existants.
  • Détourner tous les paiements invalides à un portefeuille qui leur est propre.

Pour autant que nous puissions en juger, cela signifie que les attaques menées se sont limitées aux transferts ou aux retraits où le client a fait une erreur.

Dans de tels cas, semble-t-il, au lieu que l’opérateur de guichet automatique récupère les fonds mal acheminés afin qu’ils puissent ensuite être remboursés ou correctement redirigés…

… les fonds iraient directement et de manière irréversible aux attaquants.

General Bytes n’a pas précisé comment cette faille a été portée à son attention, bien que nous imaginions que tout opérateur de guichet automatique confronté à un appel d’assistance concernant une transaction échouée remarquerait rapidement que ses paramètres de service avaient été falsifiés et donnerait l’alarme.

Indicateurs de compromis

Les assaillants, semble-t-il, ont laissé derrière eux divers signes révélateurs de leur activité, de sorte que le général Bytes a pu identifier de nombreux soi-disant Indicateurs de compromis (IoC) pour aider leurs utilisateurs à identifier les configurations CAS piratées.

(Rappelez-vous, bien sûr, que l’absence d’IoC ne garantit pas l’absence d’attaquants, mais les IoC connus sont un point de départ pratique en matière de détection et de réponse aux menaces.)

Heureusement, peut-être en raison du fait que cet exploit reposait sur des paiements invalides, plutôt que de permettre aux attaquants de vider directement les guichets automatiques, les pertes financières globales dans cet incident ne se heurtent pas aux montants de plusieurs millions de dollars souvent associés aux erreurs de crypto-monnaie.

Octets généraux réclamés hier [2022-08-22] que le « [i]l’incident a été signalé à la police tchèque. Le total des dommages causés aux opérateurs de guichets automatiques sur la base de leurs commentaires s’élève à 16 000 dollars américains.

La société a également désactivé automatiquement tous les guichets automatiques qu’elle gérait au nom de ses clients, obligeant ainsi ces clients à se connecter et à revoir leurs propres paramètres avant de réactiver leurs appareils ATM.

Que faire?

General Bytes a répertorié un processus en 11 étapes que ses clients doivent suivre pour résoudre ce problème, notamment :

  • Patcher le serveur CAS.
  • Examen des paramètres du pare-feu pour restreindre l’accès au moins d’utilisateurs du réseau possible.
  • Désactivation des terminaux ATM afin que le serveur puisse être réactivé pour examen.
  • Examen de tous les paramètresy compris les terminaux fictifs éventuellement ajoutés.
  • Réactivation des bornes seulement après avoir terminé toutes les étapes de chasse aux menaces.

Cette attaque, soit dit en passant, est un rappel fort de la raison pour laquelle la réponse aux menaces contemporaines il ne s’agit pas simplement de colmater les trous et de supprimer les logiciels malveillants.

Dans ce cas, les criminels n’ont implanté aucun logiciel malveillant : l’attaque a été orchestrée simplement par le biais de changements de configuration malveillants, sans toucher au système d’exploitation sous-jacent et au logiciel serveur.

Pas assez de temps ou de personnel ? En savoir plus sur Détection et réponse gérées par Sophos: Recherche, détection et réponse aux menaces 24h/24 et 7j/7

Image en vedette de Bitcoins imaginés via la licence Unsplash.

Rate this post
Publicité
Article précédentUne erreur critique s’est produite et le processus doit être arrêté
Article suivantQuand le problème irritant de la barre de santé de Fortnite sera-t-il corrigé ?
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici