Pesquisadores da IOActive tiveram acesso a caixas eletrônicos de Bitcoin, especificamente ao modelo Douro da Lamassu, e realizaram uma avaliação de segurança para tentar obter controle total sobre esses dispositivos.

Durante a análise, identificaram uma série de vulnerabilidades (CVE-2024-0175, CVE-2024-0176 e CVE-2024-0177) que permitiam o controle completo dos caixas eletrônicos. Essas descobertas foram feitas assumindo o papel de um atacante com o mesmo acesso físico ao dispositivo que um cliente regular teria.

Inicialmente, durante a inicialização do dispositivo, por alguns segundos, era possível interagir com o gerenciador de janelas do sistema operacional Linux, permitindo abrir uma janela de terminal ou executar qualquer outra aplicação instalada como um usuário de baixo privilégio.

Para obter controle total do dispositivo, os pesquisadores realizaram uma escalada de privilégios explorando o mecanismo de atualização de software. Uma característica interessante é que, embora os pesquisadores tivessem acesso à interface gráfica e ao terminal, não havia um teclado conectado.

Após obter acesso root, os pesquisadores também conseguiram quebrar a senha do root em menos de um minuto, descobrindo que a mesma senha era válida para todos os dispositivos. As CVEs relacionadas foram publicadas pela Autoridade de Numeração CVE correspondente em 18 de janeiro de 2024. A Lamassu lançou um boletim de segurança sobre a remediação dos problemas de segurança encontrados pela IOActive.