Los investigadores de ciberseguridad están haciendo sonar la alarma sobre una campaña en curso que aprovecha la información expuesta en Internet. Servicios de Selenium Grid para la minería ilícita de criptomonedas.
Cloud Security Wiz rastrea la actividad bajo el nombre SelenioAvariciaSe cree que la campaña, que está dirigida a versiones anteriores de Selenium (3.141.59 y anteriores), está en marcha. desde al menos abril de 2023.
«Sin que la mayoría de los usuarios lo sepan, la API Selenium WebDriver permite una interacción completa con la propia máquina, incluida la lectura y descarga de archivos y la ejecución de comandos remotos», afirman los investigadores de Wiz Avigayil Mechtinger, Gili Tikochinski y Dor Laska. dicho.
«De manera predeterminada, la autenticación no está habilitada para este servicio. Esto significa que muchas instancias de acceso público están mal configuradas y cualquier persona puede acceder a ellas y utilizarlas de forma abusiva con fines maliciosos».
Selenium Grid, parte del marco de pruebas automatizadas de Selenium, permite la ejecución paralela de pruebas en múltiples cargas de trabajo, diferentes navegadores y varias versiones de navegador.
«Selenium Grid debe protegerse del acceso externo mediante permisos de firewall adecuados», afirman los mantenedores del proyecto. advertir en una documentación de soporte, indicando que no hacerlo podría permitir que terceros ejecuten binarios arbitrarios y accedan a archivos y aplicaciones web internos.
Aún no se sabe exactamente quién está detrás de la campaña de ataques. Sin embargo, se trata de un atacante que ataca instancias expuestas públicamente de Selenium Grid y hace uso de la API WebDriver para ejecutar el código Python responsable de descargar y ejecutar un minero XMRig.
Comienza con el adversario enviando una solicitud al centro vulnerable Selenium Grid con el objetivo de ejecutar un programa Python que contiene una carga útil codificada en Base64 que genera un shell inverso a un servidor controlado por el atacante («164.90.149[.]104») para obtener la carga útil final, una versión modificada del minero de código abierto XMRig.
«En lugar de codificar la IP del pool en la configuración del minero, la generan dinámicamente en tiempo de ejecución», explicaron los investigadores. «También configuran la función de huella digital TLS de XMRig dentro del código agregado (y dentro de la configuración), lo que garantiza que el minero solo se comunicará con servidores controlados por el actor de la amenaza».
Se dice que la dirección IP en cuestión pertenece a un servicio legítimo que ha sido comprometido por el actor de amenazas, ya que también se descubrió que alberga una instancia de Selenium Grid expuesta públicamente.
Wiz dijo que es posible ejecutar comandos remotos en versiones más nuevas de Selenium y que identificó más de 30.000 instancias expuestas a la ejecución de comandos remotos, lo que hace imperativo que los usuarios tomen medidas para cerrar la configuración incorrecta.
«Selenium Grid no está diseñado para estar expuesto a Internet y su configuración predeterminada no tiene habilitada la autenticación, por lo que cualquier usuario que tenga acceso a la red del hub puede interactuar con los nodos a través de API», dijeron los investigadores.
«Esto supone un riesgo de seguridad importante si el servicio se implementa en una máquina con una IP pública que tiene una política de firewall inadecuada».