Une vulnérabilité de sécurité a été révélée dans un certain nombre de guichets automatiques Bitcoin qui a permis aux cybercriminels de voler des jetons précieux aux utilisateurs.
Dans une annonce, General Bytes, le fabricant des guichets automatiques en question, a déclaré que des attaquants inconnus avaient découvert une vulnérabilité zero-day dans les appareils et l'avaient utilisée pour extraire la crypto-monnaie des comptes d'utilisateurs.
Comme l'a expliqué la société, ces guichets automatiques sont contrôlés par un serveur d'application cryptographique (CAS) distant, et celui qui était derrière le vol a trouvé un trou dans le CAS.
"L'attaquant a pu créer un utilisateur administrateur à distance via l'interface de gestion CAS via un appel URL vers la page utilisée pour l'installation par défaut sur le serveur et créer le premier utilisateur administrateur", a déclaré General Bytes. "Cette vulnérabilité est présente dans le logiciel CAS depuis la version 20201208."
Détourner les morceaux
Après cela, chaque fois que quelqu'un tentait de déposer ou de retirer de la cryptographie à l'aide du guichet automatique, les fonds étaient simplement détournés vers un portefeuille appartenant aux pirates.
"Les guichets automatiques bidirectionnels ont commencé à transférer des pièces vers le portefeuille de l'attaquant lorsque les clients envoyaient des pièces à un guichet automatique", a expliqué la société.
La société a été avertie par un utilisateur dont les fonds avaient été volés. On ne sait pas combien de personnes ont été touchées par la faille ni combien de crypto-monnaie les voleurs ont réussi à voler.
Depuis lors, cependant, un correctif a été publié. La société a mis à jour le CAS vers les versions 20220531.38 et 20220725.22 et a exhorté les fournisseurs de services ATM à retirer les appareils jusqu'à ce qu'ils appliquent le correctif. La plupart des appareils non patchés, environ deux douzaines d'entre eux, se trouvent au Canada, a-t-il déclaré.
De plus, comme l'a rapporté BleepingComputer, l'attaque n'aurait pas été possible si les serveurs avaient été protégés par un pare-feu pour autoriser uniquement les adresses IP de confiance à établir une connexion.
Via BleepingComputer (Ouvre dans un nouvel onglet)