Actori de amenințare exploatează o configurare incorectă în Selenium Grid, un cadru popular de testare a aplicațiilor web, pentru a implementa un instrument modificat XMRig pentru mineritul criptomonedei Monero.
Selenium Grid este open-source și permite dezvoltatorilor să automatizeze testarea pe mai multe mașini și browsere. Este folosit în medii cloud și a fost descărcat de peste 100 de milioane de ori de pe Docker Hub.
Testele sunt distribuite de la un hub central către nodurile serviciului printr-o interacțiune API, unde sunt executate. Nodurile prezintă diferite sisteme de operare, browsere și alte modificări de mediu pentru a oferi rezultate cuprinzătoare.
Cercetătorii de la startup-ul de securitate în cloud Wiz au descoperit că activitatea malitioasă pe care o urmăresc sub numele de „SeleniumGreed” rulează de mai bine de un an și profită de lipsa de autentificare a serviciului în configurația implicită.
Potrivit cercetării Wiz, Selenium Grid nu are un mecanism de autentificare activat în mod implicit. În cazul unui serviciu expus public, oricine poate accesa instanțele de testare a aplicațiilor, descărca fișiere și executa comenzi.
Selenium avertizează asupra riscurilor instanțelor expuse pe internet în documentația sa, sfătuind pe cei care au nevoie de acces remote să prevină accesul neautorizat prin configurarea unui firewall. Cu toate acestea, această avertizare nu este suficientă pentru a preveni configurările incorecte la o scară mai mare.
Wiz afirmă că actorii de amenințare folosesc API-ul Selenium WebDriver pentru a schimba calea binară implicită a Chrome în instanța vizată, făcând ca aceasta să indice interpretorul Python.
Apoi folosesc metoda ‘add_argument’ pentru a transmite un script Python codat în base64 ca argument. Când WebDriver inițiază o cerere de lansare a Chrome, acesta execută interpretorul Python cu scriptul furnizat în loc.
Scriptul Python stabilește un shell invers, oferind atacatorilor acces aproape complet la instanță.
Mai apoi, atacatorii se bazează pe utilizatorul Selenium (‘seluser’), care poate executa comenzi sudo fără parolă, pentru a plasa un miner XMRig personalizat pe instanța compromisă și a-l seta să ruleze în fundal.
Pentru a evita detectarea, atacatorii folosesc adesea sarcini compromise ale nodului Selenium ca servere intermediare de comandă și control (C2) pentru infecții ulterioare și de asemenea ca proxy-uri pentru pool-urile de minerit.
Atacatorii vizează versiuni mai vechi ale Selenium (v3.141.59), dar Wiz confirmă că abuzul este posibil și pe versiuni mai recente de 4.
Aceasta înseamnă că strategia atacatorilor este probabil să evite detectarea prin vizarea instanțelor mai puțin întreținute și monitorizate decât să exploateze o defecțiune care există doar în versiunile mai vechi.
„Orice versiune a serviciului Selenium Grid care lipsește autentificare adecvată și politici de securitate de rețea este vulnerabilă la execuție de comenzi la distanță,” declară Wiz în raportul său.
„Bazat pe datele noastre, amenințarea descrisă în acest blog vizează Selenium v3.141.59, dar ar putea evolua pentru a exploata și versiuni ulterioare, iar alți actori de amenințare s-ar putea să o fi făcut deja,” notează cercetătorii.
Scanările de rețea ale lui Wiz pe motorul de căutare FOFA pentru active de rețea expuse arată cel puțin 30.000 de instanțe Selenium accesibile în prezent pe web-ul public.
Deși efectele activității de criptominare sunt creșterea utilizării resurselor, operatorii campaniei ar putea folosi accesul lor pentru a implementa malware dacă țintele sunt suficient de valoroase.
Pentru ajutor pentru activarea autentificării de bază și protejarea Selenium Grids de accesul extern neautorizat, urmați ghidurile oficiale ale serviciului aici.
P2PInfect botnet vizează servere REdis cu un nou modul de ransomware
Hackerul CRYSTALRAY se extinde la 1.500 de sisteme compromise folosind instrumentul SSH-Snake
Leave a Reply