比特币 ATM 制造商 General Bytes 透露,身份不明的威胁行为者利用其软件中的零日安全漏洞从热钱包中窃取了加密货币。
“攻击者能够通过终端用于上传视频的主服务接口远程上传他自己的 Java 应用程序,并使用‘batm’用户权限运行它,”该公司在周末发布的一份公告中表示。
“攻击者扫描了 Digital Ocean 云托管 IP 地址空间,并确定在端口 7741 上运行 CAS 服务,包括 General Bytes Cloud 服务和其他在 Digital Ocean 上运行其服务器的 GB ATM 运营商,”它进一步补充道。
该公司表示,恶意 Java 应用程序上传到的服务器默认配置为启动部署文件夹(“/batm/app/admin/standalone/deployments/”)中的应用程序。
在这样做的过程中,攻击允许威胁行为者访问数据库;读取和解密用于访问热钱包和交易所资金的 API 密钥;从钱包发送资金;下载用户名、密码哈希值,并关闭双因素身份验证 (2FA);甚至访问终端事件日志。
它还警告说,由于该事件,其自己的云服务以及其他运营商的独立服务器已被渗透,促使该公司关闭了该服务。
除了敦促客户将他们的加密应用程序服务器 (CAS) 置于防火墙和 VPN 之后,它还建议将所有用户的密码和 API 密钥轮换到交易所和热钱包。
“CAS 安全修复程序在两个服务器补丁版本 20221118.48 和 20230120.44 中提供,”General Bytes 在公告中说。
该公司进一步强调,它自 2021 年以来进行了多次安全审计,但没有一次标记出此漏洞。它似乎自版本 20210401 以来一直未打补丁。
General Bytes 没有透露黑客窃取资金的确切金额,但对攻击中使用的加密货币钱包的分析显示收到了 56.283 BTC(150 万美元)、21.823 ETH(36,500美元)和1,219.183 LTC(96,500 美元)。
ATM 黑客攻击是不到一年内第二次针对 General Bytes 的漏洞,其 ATM 服务器中的另一个零日漏洞在 2022 年 8 月被利用从其客户那里窃取加密货币。
