全球前三大加密货币ATM制造商General Bytes旗下自动ATM,被爆出存在服务器端口存在漏洞,黑客能远端取得管理员权限修改收款钱包地址,让客户买卖加密货币的时候取得赃款。
资安部落格《Bleeping Computer》19日接获爆料,一名General Bytes ATM的租赁客户遭到黑客零时差攻击,自己的ATM里头的比特币不翼而飞。
零时差攻击(zero-dayattack)又称零日攻击,指黑客利用原始程式码尚未修补的漏洞进行攻击。随后,当厂商及开发者针对漏洞修补更新,那这漏洞就会称为N-day漏洞。
根据18日时General Bytes发布的版本更新说明,此零时差漏洞从自家加密应用服务器(Crypto Applicate Server,CAS)2020年12月8日的版本就已存在,并说明:攻击者能通过CAS管理界面远端进入URL创建管理员账号网页,这是首次安装ATM创建管理员账号用的。
更新说明指出,黑客借由扫描TCP port 7777或433进入Digital Ocean云端托管服务器漏洞,就能创建名为「gb」的预设管理权限账号,可自由窜改ATM上预设的「买」、「卖」、「无效的交易地址」等钱包位置,等待交易者操作ATM传入加密货币,即会转账到黑客钱包。
目前General Bytes已修补服务器漏洞,尚未公布攻击受害规模与金额。
General Bytes曾被Kraken揪出漏洞
中心化交易所Kraken的安全部门曾在2021年4月20日指出General Bytes旗下BATMtwo机型存在多处软硬件漏洞,当时服务器管理界面也被指出有危险漏洞。但General Bytes当时指称感谢Kraken,软件漏洞皆在一个月内修复。