Hacker haben eine Zero-Day-Schwachstelle in General Bytes Bitcoin-Geldautomaten-Servern ausgenutzt, um Kryptowährung von Kunden zu stehlen.
Mehrere Bitcoin-Geldautomaten von General Bytes sind mit einer Zero-Day-Schwachstelle befallen, die es Hackern ermöglicht, die von Benutzern hinterlegten Kryptowährungen für sich abzuzweigen. Darüber berichtete BleepingComputer.
Kürzlich nutzte eine Gruppe anonymer Hacker einen Zero-Day-Exploit in General Bytes Bitcoin-Geldautomatenservern aus, um BTC von mehreren Kunden zu stehlen. Sobald Kunden Bitcoin über diese Geldautomaten kaufen oder einzahlen, ermöglicht die Zero-Day-Schwachstelle Hackern, die Gelder in ihre eigene Brieftasche umzuleiten.
General Bytes ist einer der größten Hersteller von Geldautomaten für Kryptowährungen. Derzeit sind weltweit fast neuntausend Krypto-Geldautomaten installiert, die es ermöglichen, über 40 verschiedene Kryptowährungen zu kaufen, zu verkaufen oder einzuzahlen. Diese Geldautomaten werden von Remote-Crypto Application Server (CAS) gesteuert. Die Server verwalten direkt alle Gerätevorgänge, einschließlich der Echtzeitverarbeitung von Käufen und Verkäufen von Kryptowährungen.
Hacker nutzen CAS Zero-Day aus
GeneralBytes bestätigte die Ausnutzung einer Server-Schwachstelle, die zu Ausfallzeiten und Diebstahl von Bitcoin auf einigen seiner Bitcoin-Geldautomaten führte. Demgemäß waren die Angreifer offenbar in der Lage, über das CAS-Admin-Panel aus der Ferne ein Admin-Benutzerkonto zu erstellen. Sie nutzten dabei eine Schwachstelle aus, die existierte und bisher unbemerkt blieb.
„Ein Angreifer konnte über einen URL-Aufruf auf der Seite, die für die Standardinstallation auf dem Server und die Erstellung des ersten administrativen Benutzers verwendet wird, einen administrativen Benutzer über die CAS-Verwaltungsoberfläche erstellen.
Diese Schwachstelle ist in der CAS-Software seit Version 20201208 vorhanden.“
Nach der Erstellung des gefälschten Administratorkontos, namens „gb“, konnten Hacker die „Kaufen“- und „Verkaufen“-Einstellungen auf den Geldautomaten-Servern ändern und dann Zahlungen an eine externe, von ihnen kontrollierte Kryptowährungs-Wallet weiterleiten.
Gemäß Unternehmensangabe ist diese Schwachstelle in der CAS-Software bereits seit der Vorgängerversion vorhanden. Das Team von General Bytes glaubt, dass Hacker das Internet nach exponierten Servern durchsucht haben, die auf den TCP-Ports 443 oder 7777 laufen. Darunter Server, die bei Digital Ocean und dem eigenen Cloud-Dienst von General Bytes gehostet werden.
General Bytes warnte infolge seine Kunden, ihre Bitcoin-Geldautomaten solange nicht zu verwenden, bis sie zwei aktualisierte Server-Patches aufgespielt haben. Derzeit sind achtzehn Server von General Bytes betroffen, die für einen Zero-Day-Exploit anfällig sein könnten. Die Mehrheit dieser exponierten Server befinden sich in Kanada. Ferner hat General Bytes auch eine Checkliste mit Schritten bereitgestellt, die User bei der Nutzung ihrer Dienste befolgen müssen.
Update vom 22.08.2022
Auch der europäische Marktführer, das österreichische Unternehemen Kurant, hat sich zum Thema geäußert. Demnach können dessen User beruhigt sein. Nach eigenen Angaben steht bei ihnen das Thema Sicherheit an erster Stelle. Somit waren keine Kunden von Kurant, der Automaten in Österreich, Deutschland, Griechenland und Spanien betreibt, von der Sicherheitslücke betroffen. Geschäftsführer der Kurant GmbH, Stefan Grill, führte gegenüber Tarnkappe.info aus:
„Auf Basis unserer über achtjährigen Erfahrung im Betrieb von Bitcoin-Automaten in Europa ist uns die sichere Abwicklung von Transaktionen im Sinne unserer Kunden natürlich ein besonderes Anliegen. Folglich wurden von uns entsprechende Datensicherheitsmaßnahmen gesetzt. Trotz der vom Hersteller kommunizierten unklaren Tragweite der Sicherheitslücke gibt es keine Anzeichen, dass auch nur ein einziger Kunde von Kurant betroffen wäre. Somit wurde auch ein sicherer Betrieb der Bitcoin-Automaten gewährleistet.“