{"id":1254165,"date":"2024-07-26T05:15:07","date_gmt":"2024-07-26T07:15:07","guid":{"rendered":"https:\/\/teknomers.com\/fr\/une-cyberattaque-en-cours-cible-les-services-selenium-grid-exposes-pour-le-minage-de-crypto-monnaies\/"},"modified":"2024-07-26T05:15:12","modified_gmt":"2024-07-26T07:15:12","slug":"une-cyberattaque-en-cours-cible-les-services-selenium-grid-exposes-pour-le-minage-de-crypto-monnaies","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/une-cyberattaque-en-cours-cible-les-services-selenium-grid-exposes-pour-le-minage-de-crypto-monnaies\/","title":{"rendered":"Une cyberattaque en cours cible les services Selenium Grid expos\u00e9s pour le minage de crypto-monnaies"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">26 juillet 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Une-cyberattaque-en-cours-cible-les-services-Selenium-Grid-exposes.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 tirent la sonnette d&#8217;alarme au sujet d&#8217;une campagne en cours qui exploite les donn\u00e9es expos\u00e9es sur Internet <a rel=\"nofollow noopener\" href=\"https:\/\/www.selenium.dev\/documentation\/grid\/\" target=\"_blank\">Services de grille Selenium<\/a> pour l\u2019extraction illicite de cryptomonnaie.<\/p>\n<p>Cloud Security Wiz suit l&#8217;activit\u00e9 sous le nom <strong>S\u00e9l\u00e9niumGreed<\/strong>La campagne, qui cible les anciennes versions de Selenium (3.141.59 et ant\u00e9rieures), serait en cours <a rel=\"nofollow noopener\" href=\"https:\/\/www.reddit.com\/r\/selfhosted\/comments\/12drr31\/remote_server_compromised\/\" target=\"_blank\">depuis au moins avril 2023<\/a>.<\/p>\n<p>\u00ab \u00c0 l&#8217;insu de la plupart des utilisateurs, l&#8217;API Selenium WebDriver permet une interaction compl\u00e8te avec la machine elle-m\u00eame, y compris la lecture et le t\u00e9l\u00e9chargement de fichiers et l&#8217;ex\u00e9cution de commandes \u00e0 distance \u00bb, expliquent les chercheurs de Wiz Avigayil Mechtinger, Gili Tikochinski et Dor Laska. <a rel=\"nofollow noopener\" href=\"https:\/\/www.wiz.io\/blog\/seleniumgreed-cryptomining-exploit-attack-flow-remediation-steps\" target=\"_blank\">dit<\/a>.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/intel-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721628359_866_Nouvelle-variante-Linux-du-ransomware-Play-ciblant-les-systemes-VMWare.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>\u00ab Par d\u00e9faut, l&#8217;authentification n&#8217;est pas activ\u00e9e pour ce service. Cela signifie que de nombreuses instances accessibles au public sont mal configur\u00e9es et peuvent \u00eatre consult\u00e9es par n&#8217;importe qui et utilis\u00e9es \u00e0 des fins malveillantes. \u00bb<\/p>\n<p>Selenium Grid, qui fait partie du framework de tests automatis\u00e9s Selenium, permet l&#8217;ex\u00e9cution parall\u00e8le de tests sur plusieurs charges de travail, diff\u00e9rents navigateurs et diff\u00e9rentes versions de navigateurs.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721978107_739_Une-cyberattaque-en-cours-cible-les-services-Selenium-Grid-exposes.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721978107_739_Une-cyberattaque-en-cours-cible-les-services-Selenium-Grid-exposes.png\" alt=\"Services de grille Selenium\" border=\"0\" data-original-height=\"669\" data-original-width=\"728\" title=\"Services de grille Selenium\"\/><\/a><\/div>\n<p>\u00ab Selenium Grid doit \u00eatre prot\u00e9g\u00e9 contre les acc\u00e8s externes \u00e0 l&#8217;aide d&#8217;autorisations de pare-feu appropri\u00e9es \u00bb, ont d\u00e9clar\u00e9 les responsables du projet <a rel=\"nofollow noopener\" href=\"https:\/\/www.selenium.dev\/documentation\/grid\/getting_started\/#warning\" target=\"_blank\">avertir<\/a> dans une documentation d&#8217;assistance, indiquant que ne pas le faire pourrait permettre \u00e0 des tiers d&#8217;ex\u00e9cuter des binaires arbitraires et d&#8217;acc\u00e9der \u00e0 des applications et fichiers Web internes.<\/p>\n<p>On ne sait pas exactement qui se cache derri\u00e8re cette campagne d&#8217;attaque. Cependant, l&#8217;acteur malveillant cible des instances de Selenium Grid expos\u00e9es publiquement et utilise l&#8217;API WebDriver pour ex\u00e9cuter du code Python charg\u00e9 de t\u00e9l\u00e9charger et d&#8217;ex\u00e9cuter un mineur XMRig.<\/p>\n<p><iframe loading=\"lazy\" title=\"SeleniumGreed Attack Flow\" width=\"640\" height=\"360\" src=\"https:\/\/www.youtube.com\/embed\/Pn7_MkAToe4?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe><\/p>\n<p>Tout commence par l&#8217;envoi par l&#8217;adversaire d&#8217;une requ\u00eate au hub Selenium Grid vuln\u00e9rable dans le but d&#8217;ex\u00e9cuter un programme Python contenant une charge utile cod\u00e9e en Base64 qui g\u00e9n\u00e8re un shell invers\u00e9 vers un serveur contr\u00f4l\u00e9 par l&#8217;attaquant (&#8220;164.90.149[.]104&#8221;) afin de r\u00e9cup\u00e9rer la charge utile finale, une version modifi\u00e9e du mineur open source XMRig.<\/p>\n<p>\u00ab Au lieu de coder en dur l&#8217;adresse IP du pool dans la configuration du mineur, ils la g\u00e9n\u00e8rent dynamiquement au moment de l&#8217;ex\u00e9cution \u00bb, ont expliqu\u00e9 les chercheurs. \u00ab Ils ont \u00e9galement d\u00e9fini la fonction d&#8217;empreinte digitale TLS de XMRig dans le code ajout\u00e9 (et dans la configuration), garantissant que le mineur ne communiquera qu&#8217;avec les serveurs contr\u00f4l\u00e9s par l&#8217;acteur de la menace. \u00bb<\/p>\n<p>L&#8217;adresse IP en question appartiendrait \u00e0 un service l\u00e9gitime qui a \u00e9t\u00e9 compromis par l&#8217;acteur malveillant, car il a \u00e9galement \u00e9t\u00e9 d\u00e9couvert qu&#8217;il h\u00e9bergeait une instance Selenium Grid expos\u00e9e publiquement.<\/p>\n<p>Wiz a d\u00e9clar\u00e9 qu&#8217;il \u00e9tait possible d&#8217;ex\u00e9cuter des commandes \u00e0 distance sur les versions plus r\u00e9centes de Selenium et qu&#8217;il avait identifi\u00e9 plus de 30 000 instances expos\u00e9es \u00e0 l&#8217;ex\u00e9cution de commandes \u00e0 distance, ce qui rend imp\u00e9ratif que les utilisateurs prennent des mesures pour corriger la mauvaise configuration.<\/p>\n<p>\u00ab Selenium Grid n&#8217;est pas con\u00e7u pour \u00eatre expos\u00e9 \u00e0 Internet et sa configuration par d\u00e9faut n&#8217;a aucune authentification activ\u00e9e, donc tout utilisateur ayant acc\u00e8s au r\u00e9seau du hub peut interagir avec les n\u0153uds via l&#8217;API \u00bb, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>\u00ab Cela pose un risque de s\u00e9curit\u00e9 important si le service est d\u00e9ploy\u00e9 sur une machine avec une adresse IP publique dont la politique de pare-feu est inad\u00e9quate. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/ongoing-cyberattack-targets-exposed.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80226 juillet 2024\ue804R\u00e9daction Les chercheurs en cybers\u00e9curit\u00e9 tirent la sonnette d&#8217;alarme au sujet d&#8217;une campagne en cours qui exploite les donn\u00e9es expos\u00e9es sur Internet Services de grille Selenium pour l\u2019extraction illicite de cryptomonnaie. Cloud Security Wiz suit l&#8217;activit\u00e9 sous le nom S\u00e9l\u00e9niumGreedLa campagne, qui cible les anciennes versions de Selenium (3.141.59 et ant\u00e9rieures), serait en [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1254167,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,238778,7087,4168,1297,8390,4158,4165,2786,8008,204408,65,238584,200271,15026,238334,98340,185,238617,4172,4169,243691,3831,196,4166,238583],"class_list":["post-1254165","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-piratage-informatique","tag-cible","tag-comment-pirater","tag-cours","tag-cryptomonnaies","tag-cyber-actualites","tag-cyber-attaques","tag-cyberattaque","tag-exposes","tag-grid","tag-les","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-minage","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-pour","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-selenium","tag-services","tag-une","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1254165","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1254165"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1254165\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1254167"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1254165"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1254165"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1254165"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}