比特幣 ATM 制造商 General Bytes 透露，黑客利用其軟件中的零日漏洞從熱錢包中竊取了加密貨幣。攻擊者能夠通過終端用于上傳視頻的主服務(wù)接口遠程上傳他自己的 Java 程序，并使用 batm 用戶權(quán)限運行它。

根據(jù)中國網(wǎng)絡(luò)安全行業(yè)門戶極牛網(wǎng)(GeekNB.com)的梳理，攻擊者掃描了 Digital Ocean 云托管 IP 地址空間，并確定在端口 7741 上運行 CAS 服務(wù)，包括 General Bytes Cloud 服務(wù)和其他在 Digital Ocean 上運行其服務(wù)器的 General Bytes ATM 運營商。

惡意 Java 程序上傳到的服務(wù)器默認(rèn)配置為啟動部署文件夾 /batm/app/admin/standalone/deployments/ 中的應(yīng)用程序。這使得攻擊者可以訪問數(shù)據(jù)庫，讀取和解密用于訪問熱錢包和交易所資金的 API 密鑰、從錢包種轉(zhuǎn)移資金、下載用戶名密碼哈希值，并關(guān)閉雙因素身份驗證 (2FA)，甚至訪問終端事件日志等。

General Bytes已在 149 個國家銷售了超過 15137 臺ATM終端。它支持超過 180 種法定貨幣，并在全球范圍內(nèi)總共執(zhí)行了近 2260 萬筆交易。

BATM 旨在連接到加密應(yīng)用程序服務(wù)器 ( CAS )，該服務(wù)器通過 DigitalOcean 提供的基礎(chǔ)設(shè)施在云端進行管理。由于該事件，其自己的云服務(wù)以及其他運營商的獨立服務(wù)器已被滲透，促使該公司關(guān)閉了該服務(wù)。

除了敦促客戶將他們的加密應(yīng)用程序服務(wù)器 (CAS) 置于防火墻和 VPN 之后，它還建議將所有用戶的密碼和 API 密鑰輪換到交易所和熱錢包。

CAS 安全修復(fù)程序在兩個服務(wù)器補丁版本 20221118.48 和 20230120.44 中提供，該公司進一步強調(diào)，它自 2021 年以來進行了多次安全審計，但沒有一次標(biāo)記出此漏洞。它似乎自版本 20210401 以來一直未打補丁。

General Bytes 沒有透露黑客竊取資金的確切金額，但對攻擊中使用的加密貨幣錢包的分析顯示收到了 56.283 BTC（150 萬美元）、21.823 ETH（36,500美元）和1,219.183 LTC（96,500 美元）。