Las instancias de Selenium Grid expuestas a Internet est\u00e1n siendo blanco de actores maliciosos para campa\u00f1as il\u00edcitas de miner\u00eda de criptomonedas y proxyjacking.<\/p>\n
“Selenium Grid es un servidor que facilita la ejecuci\u00f3n de casos de prueba en paralelo en diferentes navegadores y versiones”, dijeron los investigadores de seguridad de Cado Tara Gould y Nate Bill. dicho<\/a> en un an\u00e1lisis publicado hoy.<\/p>\n “Sin embargo, la configuraci\u00f3n predeterminada de Selenium Grid carece de autenticaci\u00f3n, lo que lo hace vulnerable a la explotaci\u00f3n por parte de actores de amenazas”.<\/p>\n El abuso de instancias de Selenium Grid de acceso p\u00fablico para implementar mineros de criptomonedas fue destacado previamente por la empresa de seguridad en la nube Wiz a fines de julio de 2024 como parte de un grupo de actividades denominado SeleniumGreed.<\/p>\n Cado, que observ\u00f3 dos campa\u00f1as diferentes contra su servidor honeypot, dijo que los actores de amenazas est\u00e1n explotando la falta de protecciones de autenticaci\u00f3n para llevar a cabo acciones maliciosas.<\/p>\n El primero de ellos aprovecha la “goog:chromeOpciones<\/a>“diccionario para inyectar un script Python codificado en Base64 que, a su vez, recupera un script llamado “y”, que es el c\u00f3digo abierto G-Socket<\/a> carcasa inversa<\/p>\n Posteriormente, el shell inverso sirve como medio para introducir la carga \u00fatil de la siguiente etapa, un script bash llamado “pl” que recupera IPRoyal Pawn y EarnFM de un servidor remoto a trav\u00e9s de los comandos curl y wget.<\/p>\n “IPRoyal Pawns es un servicio de proxy residencial que permite a los usuarios vender su ancho de banda de Internet a cambio de dinero”, dijo Cado.<\/p>\n “La conexi\u00f3n a Internet del usuario se comparte con la red IPRoyal y el servicio utiliza el ancho de banda como proxy residencial, lo que lo hace disponible para diversos fines, incluidos fines maliciosos”.<\/p>\n EarnFM tambi\u00e9n es una soluci\u00f3n proxyware que se anuncia como una forma “innovadora” de “generar ingresos pasivos en l\u00ednea simplemente compartiendo su conexi\u00f3n a Internet”.<\/p>\n El segundo ataque, al igual que la campa\u00f1a de proxyjacking, sigue la misma ruta para entregar un script bash a trav\u00e9s de un script Python que verifica si se est\u00e1 ejecutando en una m\u00e1quina de 64 bits y luego procede a lanzar un binario ELF basado en Golang.<\/p>\n Posteriormente, el archivo ELF intenta escalar a la ra\u00edz aprovechando la falla PwnKit (CVE-2021-4043) y lanza un minero de criptomonedas XMRig llamado perfcc.<\/p>\n “Dado que muchas organizaciones dependen de Selenium Grid para realizar pruebas de navegadores web, esta campa\u00f1a destaca a\u00fan m\u00e1s c\u00f3mo los actores de amenazas pueden abusar de instancias mal configuradas”, dijeron los investigadores. “Los usuarios deben asegurarse de que la autenticaci\u00f3n est\u00e9 configurada, ya que no est\u00e1 habilitada de forma predeterminada”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Servidores-Selenium-Grid-expuestos-son-el-objetivo-de-mineria-de.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n