Tehdit aktörleri, kurbanların İnternet bant genişliğini kripto madenciliği, proxy saldırısı ve potansiyel olarak çok daha kötü amaçlar için kullanma amacıyla İnternet’e açık Selenium Grid sunucularına bulaşıyor.
Selenium, Wiz’in verilerine göre bulut ortamlarının %30’unda bulunabilen tarayıcı otomasyonu için açık kaynaklı bir araç takımıdır. Selenium Grid, milyonlarca geliştirici ve dünya çapında binlerce kuruluş tarafından kullanılan, paralel olarak birden fazla platform ve tarayıcıda Web uygulamalarını otomatik olarak test etmek için açık kaynaklı bir araçtır. Selenium/hub docker imajı, Docker Hub’da 100 milyondan fazla çekime sahiptir.
Doğası gereği dahili bir araç olmasına rağmen, bugün internette on binlerce Selenium Grid sunucusu açığa çıkmıştır. Buna karşılık, en azından bazı bilgisayar korsanları çeşitli kötü amaçlı amaçlar için bu sunucuları ele geçirmeyi amaçlayan otomatik kötü amaçlı yazılımlar kullanmıştır.
Cado Security, bu gözetimsiz sunucuların karşılaştığı tehdit türlerini ölçmek için yakın zamanda bir bal tuzağı başlattıCado Security’nin Ar-Ge lider çözüm mühendisi Al Carchrie’nin hatırladığı gibi, “Salı günü bal tuzağını konuşlandırdık ve ardından 24 saat içinde aktivite görmeye başladık.”
Selenium Proxyjacking
Araştırma süresince iki temel tehdit her gün otomatik olarak bal tuzağına saldırmaya çalıştı.
İlki, açık kaynaklı ağ oluşturma araç takımı GSocket’i düşüren “y” etiketli bir komut dizisi de dahil olmak üzere bir dizi komut dosyası dağıttı. GSocket, güvenlik duvarlarının ardındaki iki kullanıcının güvenli bir TCP bağlantısı kurmasına izin vermek için tasarlanmıştır. Ancak bu ve diğer durumlarda, tehdit aktörleri bunu bir komuta ve kontrol (C2) aracı olarak kullandı.
“pl” ve “tm” olmak üzere iki komut dosyası geldi ve bunlar çeşitli keşif işlevlerini gerçekleştirdiler — sistem mimarisini analiz etme, kök ayrıcalıklarını kontrol etme ve diğer işlevler — ve kampanyanın birincil yüklerini düşürdüler: Pawns.app (IPRoyal Pawn) ve EarnFM. Bunların her biri proxy yazılımıdır — kullanıcıların esasen kullanılmayan internet bant genişliklerini kiralamalarına izin veren programlar.
Bu tür hizmetler meşru olarak satılsa da, bilgisayar korsanları bunları kendi amaçları için kolayca silahlandırabilir. “proxyjacking“, bir internet kullanıcısının IP adresinin, kötü amaçlı faaliyetler için kişisel proxy sunucusu olarak kullanılması veya başka bir siber suçluya satılması anlamına geliyor.
“İnsanların meşru IP adreslerinin arkasına saklanmalarına izin veriyor ve bunu yapmalarının sebebi kuruluşların uygulayacağı IP filtrelemesini atlatmaya çalışmaktır,” diye açıklıyor Carchrie. “Yani kendinizi anonimleştirmek için Tor kullanıyorsanız, kuruluşlar Tor IP adreslerini altyapılarına erişimden kara listeye alabilir. Bu onlara bir fırsat verir. Kişisel olarak proxyjacking’in bir kampanyanın nihai hedefi olarak kullanıldığına ilk kez rastladım.”
Selenium’a Yönelik Daha Önemli Tehditler
Honeypot’un yakaladığı ikinci saldırı, ilk enfeksiyon yollarında benzerdi, ancak Golang tabanlı bir yürütülebilir ve bağlanabilir biçim (ELF) ikili dosyası düşürdü. ELF, buna karşılık, eski, orta şiddette bir Linux ayrıcalık yükseltme hatası olan CVE-2021-4043 için genel bir istismar olan “PwnKit”i kullanmaya çalıştı (CVSS puanı 5.5).
Daha sonra, kötü amaçlı yazılım bir saldırganın C2 altyapısına bağlandı ve bir kripto madencisi olan “perfcc”yi düşürdü. Bu şekilde, paralellik gösterdi farklı, yıl boyu sürecek bir kampanya Temmuz ayında Wiz tarafından ortaya çıkarılan ve Selenium Grid’i dağıtım için bir vektör olarak kullanan XMRig madencisi.
Wiz’in CTO’su ve kurucu ortağı Ami Luttwak’ın açıkladığı gibi, aynı tür saldırılar çok daha kötü şeyler yapmak için de kullanılabilir.
“Unutmayın, Selenium genellikle test ortamlarında çalışır,” diyor. “Test ortamları özel kodlara sahiptir ve çoğu zaman test ortamlarından mühendislik ortamlarına veya üretime geri erişim sağlayabilirsiniz. Bu nedenle bu, daha gelişmiş bir saldırgan tarafından açıkta kalan kuruluşa saldırmaya başlamak için kullanılabilir.”
30.000 Genel Olarak Açık Sunucu
Doğası gereği dahili bir araç olan Selenium Grid, saldırganların içeri girmesini engellemek için herhangi bir kimlik doğrulamaya sahip değildir. Bakımcıları Belgelerde uyarıldı “Uygun güvenlik duvarı izinleri kullanılarak harici erişime karşı korunması gerektiği” belirtiliyor.
Temmuz ayında ise Wiz, yaklaşık 15.000 güncellenmiş ancak İnternet’e maruz kalmış Selenium Grid sunucusu buldu. Daha kötüsü: 17.000’den fazlası hem İnternet’e maruz kalmış hem de eski sürümler çalıştırıyordu. (Bu sayı o zamandan beri 16.000’in altına düştü.) Bunların büyük çoğunluğu ABD ve Kanada’da bulunuyordu.
O zaman tehdit aktörlerinin fırsattan yararlanması sadece zaman meselesiydi. Bunun ilk belgelenmiş işareti bildirildi Reddit gönderisinde.
“Selenium, test için dahili bir hizmet olarak oluşturulmuştur,” diye vurguluyor Luttwak. “Çoğu senaryoda, kamuya açık olması beklenmez. Eğer öyleyse, o zaman azaltmanız gereken bir risk vardır.”
Carchrie, “Selenium Grid’inize İnternet üzerinden erişebilmeniz gerekiyorsa, çok faktörlü kimlik doğrulamanın yanı sıra kullanıcı adı ve parolalar kullanarak Selenium Grid uygulamasının önüne uygun şekilde yapılandırılmış bir kimlik doğrulama proxy sunucusu yerleştirmenizi öneririz.” tavsiyesinde bulunuyor.
En son haberleri kaçırmayın Karanlık Okuma Gizli podcast, Iowa’nın Dallas County bölgesinde kalem testi işlerini yaptıkları için tutuklanan ve geceyi hapishanede geçirmek zorunda kalan iki siber güvenlik uzmanıyla konuşuyoruz. Şimdi dinle!