Le fabricant de guichets automatiques Bitcoin, General Bytes, a révélé que des acteurs malveillants non identifiés avaient volé de la crypto-monnaie dans des portefeuilles chauds en exploitant une faille de sécurité zero-day dans son logiciel.
« L’attaquant a pu télécharger sa propre application Java à distance via l’interface de service principale utilisée par les terminaux pour télécharger des vidéos et l’exécuter en utilisant les privilèges d’utilisateur ‘batm' », a déclaré la société. a dit dans un avis publié au cours du week-end.
« L’attaquant a scanné l’espace d’adresses IP d’hébergement du cloud Digital Ocean et identifié les services CAS en cours d’exécution sur les ports 7741, y compris le service General Bytes Cloud et d’autres opérateurs ATM GB exécutant leurs serveurs sur Digital Ocean », a-t-il ajouté.
La société a déclaré que le serveur sur lequel l’application Java malveillante a été téléchargée était configuré par défaut pour démarrer les applications présentes dans le dossier de déploiement (« /batm/app/admin/standalone/deployments/ »).
Ce faisant, l’attaque a permis à l’auteur de la menace d’accéder à la base de données ; lire et décrypter les clés API utilisées pour accéder aux fonds dans les portefeuilles chauds et les échanges ; envoyer des fonds depuis les portefeuilles ; télécharger les noms d’utilisateur, les hachages de mot de passe et désactiver l’authentification à deux facteurs (2FA) ; et même accéder aux journaux d’événements du terminal.
Il a également averti que son propre service cloud ainsi que les serveurs autonomes d’autres opérateurs avaient été infiltrés à la suite de l’incident, ce qui a incité l’entreprise à fermer le service.
En plus d’exhorter les clients à garder leurs serveurs d’applications cryptographiques (CAS) derrière un pare-feu et un VPN, il est également recommandé de faire pivoter tous les mots de passe et clés API des utilisateurs vers les échanges et les portefeuilles chauds.
« Le correctif de sécurité CAS est fourni dans deux versions de correctifs de serveur, 20221118.48 et 20230120.44 », a déclaré General Bytes dans l’avis.
La société a en outre souligné qu’elle avait effectué plusieurs audits de sécurité depuis 2021 et qu’aucun d’entre eux n’avait signalé cette vulnérabilité. Il semble qu’il n’ait pas été corrigé depuis la version 20210401.
Découvrez les dangers cachés des applications SaaS tierces
Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la manière de minimiser les risques.
General Bytes n’a pas divulgué le montant exact des fonds volés par les pirates, mais une analyse des portefeuilles de crypto-monnaie utilisés dans l’attaque révèle la réception de 56.283 BTC (1,5 million de dollars), 21.823 ETH (36 500 $) et 1 219,183 LTC (96 500 $).
Le piratage ATM est la deuxième violation ciblant General Bytes en moins d’un an, avec une autre faille zero-day dans ses serveurs ATM exploitée pour voler la crypto de ses clients en août 2022.
