Оператор криптоматов General Bytes сообщил, что несмотря на меры безопасности, сервер криптоприложений (CAS) компании был скомпрометирован в результате атаки нулевого дня.

General Bytes сообщил в блоге, что, используя уязвимость, хакеры просканировали открытые серверы, работающие на TCP-портах 7 777 или 443, включая серверы, размещенные в собственном облачном сервисе компании. Затем злоумышленники добавили себя в качестве администратора по умолчанию с именем «gb» и продолжили изменять настройки «покупки» и «продажи», чтобы любая криптовалюта, полученная с криптоматов, переводилась на их адрес.

«Злоумышленники смогли создать пользователя-администратора удаленно через административный интерфейс CAS, вызвав URL-адрес на странице, которая используется для установки по умолчанию на сервере и создания первого пользователя-администратора», – говорится в блоге.

General Bytes утверждает, что с момента создания в 2020 году было проведено несколько проверок безопасности, ни одна из которых не выявила эту уязвимость. Она появилась после того, как 18 августа программное обеспечение CAS было обновлено до версии 20201208. Компания призвала клиентов воздержаться от использования криптоматов до тех пор, пока не сервер не будет обновлен до версии 20220725.22 или 20220531.38 для клиентов, работающих на 20220531.

Пользователям было рекомендовано изменить настройки брандмауэра своего сервера, чтобы доступ к интерфейсу администратора CAS был возможен только с авторизованных IP-адресов. Перед повторной активацией терминалов клиентам рекомендуется проверить настройки «продажи», чтобы убедиться, что хакеры не изменили их. 

Напомним, что в 2018 году токийская  компания  по кибербезопасности Trend Micro обнаружила ПО для взлома криптоматов.