- El fabricante de cajeros automáticos de Bitcoin, General Bytes, ha pedido a todos los operadores de cajeros que actualicen su software después de que su servidor se viera comprometido mediante un ataque de día cero.
- Este ataque se produce casi un año después de que Kraken Security Labs revelara la vulnerabilidad de la mayoría de los cajeros automáticos de Bitcoin, ya que su código QR de administración por defecto nunca se ha modificado .
El fabricante de cajeros automáticos de Bitcoin, General Bytes, ha pedido a todos los operadores de cajeros que actualicen su software después de que su servidor se viera comprometido mediante un ataque de día cero. Según el equipo de asesores de seguridad de la empresa, los actores de la amenaza hackearon su Crypto Application Server (CAS) y robaron fondos.
Los hackers escanearon los servidores expuestos que se ejecutan en los puertos TCP 7777 o 443, incluidos los servidores alojados en el servicio de nube de General Bytes.
Es importante señalar que el CAS controla toda su operación, incluyendo la compra y venta de criptomonedas. Tras hacerse con el control, los hackers modificaron la configuración para añadirse como administradores por defecto en el CAS, llamado gb. A partir de ahí, los hackers comprometieron la configuración de compra y venta, para asegurarse de que todos los activos enviados a los cajeros automáticos fueran redirigidos a las direcciones de los monederos controlados por ellos. Al parecer, también se hicieron con algunos fondos.
El atacante pudo crear un usuario de administración de forma remota a través de la interfaz administrativa de CAS mediante una llamada a la URL de la página que se utiliza para la instalación por defecto en el servidor y la creación del primer usuario de administración.
Independientemente de la información facilitada, la empresa no ha revelado el importe robado ni los cajeros automáticos afectados.
Kraken Security Labs señaló las vulnerabilidades de General Bytes
Es importante señalar que General Bytes posee y opera más de 8827 cajeros automáticos de Bitcoin en 120 países. Los clientes también pueden acceder a más de 40 criptoactivos en sus distintos cajeros. Como parte de su esfuerzo para mitigar el impacto, la compañía ha aconsejado a los clientes que no utilicen sus servidores de cajeros automáticos hasta que se actualicen a «las versiones de parche 20220725.22, y 20220531.38 para los clientes que funcionan con 20220531».
También se recuerda a los clientes que revisen su «configuración de venta de criptomonedas» antes de reactivar los terminales. Esto es para comprobar si los hackers modificaron su configuración para redirigir todos los fondos recibidos a sus direcciones de cartera. Para garantizar que sólo se accede a la interfaz de administración de CAS desde direcciones IP autorizadas, también se ha pedido a los clientes que modifiquen la configuración del cortafuegos de sus servidores. En respuesta a las críticas de que la empresa no invirtió lo suficiente en auditorías de seguridad para prevenir este ataque, ha declarado que se han realizado varias auditorías desde 2020.
Este ataque se produce casi un año después de que Kraken Security Labs revelara la vulnerabilidad de la mayoría de los cajeros automáticos de Bitcoin, ya que su código QR de administración por defecto nunca se ha modificado. En el informe, la empresa de seguridad observó que la gama de cajeros BATMTwo de General Bytes tenía varias vulnerabilidades de hardware y software. Según Kraken, es más fácil para los hackers comprometer cualquier cajero automático si consiguen acceder al código administrativo. En respuesta, General Bytes habría informado a los operadores de cajeros automáticos de las vulnerabilidades.
Kraken Security Labs informó de las vulnerabilidades a General Bytes el 20 de abril de 2021, ellos publicaron parches en su sistema de backend (CAS) y alertaron a sus clientes, pero las soluciones completas para algunos de los problemas pueden requerir todavía revisiones de hardware.