Un bogue du jour zéro exploité pour voler la crypto-monnaie du fabricant de guichets automatiques Bitcoin
Les pirates ont pu voler la crypto-monnaie des clients via un bug zero-day dans les guichets automatiques Bitcoin qui leur a permis de créer des profils d’utilisateurs administrateurs.
Bleeping Computer a rapporté que le fabricant de guichets automatiques Bitcoin, General Bytes, avertit les opérateurs de ne pas utiliser de serveurs tant qu’ils n’ont pas corrigé leurs systèmes.
« L’attaquant a pu créer un utilisateur administrateur à distance via CAS [Crypto Application Server] interface d’administration via un appel d’URL sur la page utilisée pour l’installation par défaut sur le serveur et la création du premier utilisateur d’administration », lisez la mise à jour de sécurité General Bytes du 18 août sur son wiki.
L’attaquant a pu faire transférer des paiements vers ses propres portefeuilles cryptographiques sur un certain nombre de machines bidirectionnelles lorsque les clients ont envoyé des paiements invalides aux BATM, a déclaré General Bytes dans la mise à jour. La mise à jour de sécurité a également noté que tous les opérateurs concernés ont été informés.
La mise à jour note en outre que la vulnérabilité est présente depuis 2020, mais l’attaque a commencé trois jours après que General Bytes a publié un support pour l’Ukraine sur ses terminaux.
« Nous avons conclu plusieurs audits de sécurité depuis 2020, et aucun d’entre eux n’a identifié cette vulnérabilité. L’attaque a commencé le 3e jour après que nous ayons annoncé publiquement la fonctionnalité « Help Ukraine » sur nos BATM », ont-ils écrit.