В своих атаках злоумышленники использовали 0-day уязвимость в CAS биткоин-банкоматов General Bytes.
18 августа General Bytes опубликовала сообщение, в котором признала существование 0-day уязвимости, активно эксплуатируемой хакерами в дикой природе. Злоумышленники использовали уязвимость в ПО для упpaвлeния paбoтoй aппapaтнoгo oбecпeчeния сервера криптоприложений (CAS) для создания фальшивой учетной записи администратора.
Согласно сообщению компании, атаки проходили следующим образом:
Хакеры сканируют IP-адреса облачного хостинга Digital Ocean на наличие CAS-служб, открывающих порты 7777 или 443;
Затем злоумышленники используют 0-day уязвимость и создают фальшивую учетную запись администратора;
Получив доступ к интерфейсу CAS, хакеры меняют имя учетной записи администратора по умолчанию на “gb”;
И в конце киберпреступники меняли настройки покупки и продажи криптовалюты, а также недействительный адрес платежа.
Изменив нужные настройки, хакеры заставили банкоматы пересылать всю криптовалюту клиентов на своих кошельки. Специалисты пока не могут точно сказать, сколько серверов взломано и криптовалюты украдено.
Сейчас General Bytes не рекомендует клиентам пользоваться банкоматами до установки двух патчей (20220531.38 и 20220725.22) на серверах. Кроме того, компания выложила инструкции по настройке серверных брандмауэров для контроля доступа к CAS.
source:
generalbytes.atlassian.net/wiki/spaces/ESD/pages/2785509377/Security+Incident+August+18th+2022
generalbytes.atlassian.net/wiki/spaces/ESD/pages/954728558/Configuring+Server+Firewalls
18 августа General Bytes опубликовала сообщение, в котором признала существование 0-day уязвимости, активно эксплуатируемой хакерами в дикой природе. Злоумышленники использовали уязвимость в ПО для упpaвлeния paбoтoй aппapaтнoгo oбecпeчeния сервера криптоприложений (CAS) для создания фальшивой учетной записи администратора.
Согласно сообщению компании, атаки проходили следующим образом:
Хакеры сканируют IP-адреса облачного хостинга Digital Ocean на наличие CAS-служб, открывающих порты 7777 или 443;
Затем злоумышленники используют 0-day уязвимость и создают фальшивую учетную запись администратора;
Получив доступ к интерфейсу CAS, хакеры меняют имя учетной записи администратора по умолчанию на “gb”;
И в конце киберпреступники меняли настройки покупки и продажи криптовалюты, а также недействительный адрес платежа.
Изменив нужные настройки, хакеры заставили банкоматы пересылать всю криптовалюту клиентов на своих кошельки. Специалисты пока не могут точно сказать, сколько серверов взломано и криптовалюты украдено.
Сейчас General Bytes не рекомендует клиентам пользоваться банкоматами до установки двух патчей (20220531.38 и 20220725.22) на серверах. Кроме того, компания выложила инструкции по настройке серверных брандмауэров для контроля доступа к CAS.
source:
generalbytes.atlassian.net/wiki/spaces/ESD/pages/2785509377/Security+Incident+August+18th+2022
generalbytes.atlassian.net/wiki/spaces/ESD/pages/954728558/Configuring+Server+Firewalls