The Hacker Newsは8月21日(米国時間)、「Hackers Stole Crypto from Bitcoin ATMs by Exploiting Zero-Day Vulnerability」において、ゼロディ脆弱性を悪用してビットコインATMから暗号通貨を窃取するサイバー犯罪者が現れたと伝えた。ビットコインATMメーカーのGeneral Bytesが、同社のソフトウェアの未知の脆弱性が悪用されて暗号資産を窃取される被害に遭ったと報告している。
General Bytesが発表したセキュリティアドバイザリによると、サイバー攻撃者がCAS(Crypto Application Server)管理インタフェースを介してリモートで管理ユーザーを作成することができたという。この脆弱性は、バージョン2020-12-08以降のCASソフトウェアに存在すると伝えられている(参考「Security Incident August 18th 2022 - General Bytes Knowledge Base - Confluence」)。
CASはGeneral Bytesのセルフホスティング製品で、ベンダーがデスクトップやモバイルデバイスのWebブラウザを介して、ビットコインATMを管理できるようにするもの。このゼロディ脆弱性を悪用して侵入されたサーバの数や盗まれた暗号通貨の量については明らかにされていないが、20220531.38と20220725.22という2つのサーバパッチリリースがすでに提供されているとのことだ。
General Bytesは、影響を受けるすべてのオペレーターは侵入後数時間以内に可能な限りのルートで通知を受けたと報告。2020年以降、複数のセキュリティ監査を終了したがいずれもこの脆弱性は特定されていないと説明しており、ビットコインATMのウクライナ支援機能を公表してから3日後にサイバー攻撃が開始されたと付け加えている。