Apsilankę pagrindinėje įmonės svetainėje to nesužinotumėte, tačiau Bitcoin bankomatais prekiaujanti Čekijos įmonė General Bytes yra ragindamas savo vartotojus juos pataisykite kritinę pinigų eikvojančią klaidą savo serverio programinėje įrangoje.
Bendrovė teigia, kad visame pasaulyje parduoda daugiau nei 13 000 bankomatų, kurių mažmeninė prekyba kainuoja 5000 USD ir daugiau, priklausomai nuo funkcijų ir išvaizdos.
Ne visos šalys palankiai žiūrėjo į kriptovaliutų bankomatus – pavyzdžiui, JK reguliuotojas, įspėjo 2022 m. kovo mėn kad nė vienas tuo metu šalyje veikęs bankomatas nebuvo oficialiai registruotas, ir pasakė, kad taip ir bus „susisiekimas su operatoriais, nurodydamas, kad mašinos būtų išjungtos“.
Tuo metu nuėjome patikrinti savo vietinį kriptovaliutų bankomatą ir radome pranešimą „Terminalas neprisijungęs“. (Nuo to laiko įrenginys buvo pašalintas iš prekybos centro, kuriame jis buvo sumontuotas.)
Nepaisant to, „General Bytes“ teigia, kad ji aptarnauja klientus daugiau nei 140 šalių, o jos pasaulinis bankomatų vietų žemėlapis rodo buvimą visuose žemynuose, išskyrus Antarktidą.
Pranešta apie saugumo incidentą
Remiantis „General Bytes“ produktų žinių baze, „saugumo incidentas“, kurio sunkumas yra Aukščiausias buvo atrasta praėjusią savaitę.
Pačios įmonės žodžiais:
Užpuolikas sugebėjo nuotoliniu būdu sukurti administratoriaus vartotoją per CAS administracinę sąsają per URL iškvietimą puslapyje, kuris naudojamas numatytajam diegimui serveryje ir pirmojo administravimo vartotojo sukūrimui.
Mes toli ir negalime pasakyti, CAS yra trumpinys Monetų bankomatų serveriso kiekvienam „General Bytes“ kriptovaliutų bankomatų operatoriui reikia vieno iš jų.
Atrodo, kad savo CAS galite talpinti bet kur, kur norite, įskaitant savo aparatinę įrangą savo serverių patalpoje, tačiau „General Bytes“ turi specialų susitarimą su prieglobos įmone „Digital Ocean“ dėl pigaus debesies sprendimo. (Taip pat galite leisti „General Bytes“ paleisti serverį už jus debesyje mainais už 0,5 % visų grynųjų pinigų operacijų sumažinimą.)
Remiantis incidento ataskaita, užpuolikai atliko „Digital Ocean“ debesų paslaugų prievadų nuskaitymą, ieškodami klausymosi žiniatinklio paslaugų (7777 arba 443 prievadai), kurios identifikavo save kaip „General Bytes“ CAS serverius, kad surastų galimų aukų sąrašą.
Atminkite, kad čia išnaudotas pažeidžiamumas nebuvo susijęs su „Digital Ocean“ ir neapsiribojo debesimis pagrįstais CAS egzemplioriais. Spėjame, kad užpuolikai tiesiog nusprendė, kad „Digital Ocean“ yra gera vieta pradėti ieškoti. Atminkite, kad turėdami labai spartų interneto ryšį (pvz., 10 Gbit/s) ir naudodami laisvai prieinamą programinę įrangą, ryžtingi užpuolikai dabar gali nuskaityti visą IPv4 interneto adresų erdvę per valandas ar net minutes. Taip veikia viešosios pažeidžiamumo paieškos sistemos, pvz., „Shodan“ ir „Censys“, nuolat ieškodamos interneto, kad sužinotų, kurie serveriai ir kurios versijos šiuo metu yra aktyvios kokiose interneto vietose.
Matyt, pačios CAS pažeidžiamumas leido užpuolikams manipuliuoti aukos kriptovaliutų paslaugų nustatymais, įskaitant:
- Pridedamas naujas vartotojas su administracinėmis privilegijomis.
- Naudojant šią naują administratoriaus paskyrą perkonfigūruoti esamus bankomatus.
- Visų negaliojančių mokėjimų nukreipimas į savo piniginę.
Kiek matome, tai reiškia, kad atakos buvo vykdomos tik pervedimais ar išėmimais, kai klientas padarė klaidą.
Panašu, kad tokiais atvejais užuot bankomatų operatorius surinkęs neteisingai nukreiptas lėšas, kad vėliau jas būtų galima grąžinti arba teisingai nukreipti…
…lėšos tiesiogiai ir negrįžtamai atitektų užpuolikams.
Generolas Bytesas nepasakė, kaip šis trūkumas buvo pastebėtas, nors įsivaizduojame, kad bet kuris bankomatų operatorius, gavęs pagalbos skambutį dėl nepavykusios operacijos, greitai pastebės, kad jo paslaugų nustatymai buvo sugadinti, ir sukels aliarmą.
Kompromiso rodikliai
Atrodė, kad užpuolikai paliko įvairių signalinių savo veiklos ženklų, todėl generolas Bytesas sugebėjo atpažinti daugybę vadinamųjų. Kompromiso rodikliai (IoC), kad padėtų jų vartotojams atpažinti nulaužtas CAS konfigūracijas.
(Žinoma, atminkite, kad IoC nebuvimas negarantuoja, kad nebus užpuolikų, tačiau žinomi IoC yra patogi vieta pradėti, kai reikia aptikti ir reaguoti į grėsmes.)
Laimei, galbūt dėl to, kad šis išnaudojimas buvo pagrįstas neteisingais mokėjimais, o ne leido užpuolikams tiesiogiai ištuštinti bankomatus, bendri finansiniai nuostoliai dėl šio incidento nepatiria kelių milijonų dolerių sumos dažnai siejamas su kriptovaliutų klaidos.
Generolas Bytesas vakar pareiškė [2022-08-22] kad pasakė “[i]apie įvykį buvo pranešta Čekijos policijai. Bendra bankomatų operatoriams padaryta žala, remiantis jų atsiliepimais, yra 16 000 JAV dolerių.
Bendrovė taip pat automatiškai išjungė visus bankomatus, kuriuos tvarkė savo klientų vardu, todėl šie klientai turi prisijungti ir peržiūrėti savo nustatymus prieš iš naujo suaktyvindami bankomatų įrenginius.
Ką daryti?
Generolas Bytesas išvardijo an 11 žingsnių procesas kurių klientai turi laikytis norėdami išspręsti šią problemą, įskaitant:
- Lopomis CAS serveris.
- Užkardos nustatymų peržiūra apriboti prieigą prie kuo mažiau tinklo vartotojų.
- Išjungiami bankomatų terminalai kad serverį būtų galima vėl iškelti peržiūrai.
- Visų nustatymų peržiūraįskaitant visus netikrus terminalus, kurie galėjo būti pridėti.
- Iš naujo suaktyvinami terminalai tik atlikus visus grėsmių paieškos veiksmus.
Ši ataka, beje, yra stiprus priminimas, kodėl imamasi šiuolaikinių grėsmių nėra vien tik skylių užtaisymas ir kenkėjiškų programų pašalinimas.
Šiuo atveju nusikaltėliai neįdiegė jokios kenkėjiškos programos: ataka buvo surengta tiesiog piktybiškai pakeitus konfigūraciją, o pagrindinė operacinė sistema ir serverio programinė įranga liko nepaliesta.
Nepakanka laiko ar darbuotojų?
Išmokti daugiau apie „Sophos“ valdomas aptikimas ir atsakas:
Grėsmių medžioklė, aptikimas ir reagavimas visą parą ▶
Teminis įsivaizduojamų Bitcoins vaizdas per Unsplash licencija.