Istraživači cyber sigurnosti alarmiraju zbog tekuće kampanje koja koristi usluge Selenium Grid izložene internetu za ilegalno rudarenje kriptovaluta.
Firma za Cloud sigurnost Wiz prati aktivnost pod imenom SeleniumGreed . Vjeruje se da je kampanja, koja cilja na starije verzije Selena (3.141.59 i ranije), u toku najmanje od aprila 2023. godine .
„Većina korisnika ne zna, Selenium WebDriver API omogućava potpunu interakciju sa samom mašinom, uključujući čitanje i preuzimanje datoteka i pokretanje daljinskih komandi,“ kažu istraživači Wiza Avigayil Mechtinger, Gili Tikochinski i Dor Laska .
“Prema zadanim postavkama, autentifikacija nije omogućena za ovu uslugu. To znači da su mnoge javno dostupne instance pogrešno konfigurirane i da im može pristupiti bilo tko i da se mogu zloupotrebiti u zlonamjerne svrhe.”
Selenium Grid, dio Selenium automatiziranog okvira za testiranje, omogućava paralelno izvršavanje testova u više radnih opterećenja, različitim pretraživačima i različitim verzijama pretraživača.
“Selenium Grid mora biti zaštićen od vanjskog pristupa korištenjem odgovarajućih dozvola za firewall”, upozoravaju održavatelji projekta u dokumentaciji podrške, navodeći da bi neuspjeh u tome mogao omogućiti trećim stranama da pokreću proizvoljne binarne datoteke i pristupe internim web aplikacijama i datotekama.
Ko tačno stoji iza kampanje napada trenutno nije poznato. Međutim, to uključuje hakera koji cilja javno izložene instance Selenium Grid-a i koristi WebDriver API za pokretanje Python koda odgovornog za preuzimanje i pokretanje XMRig rudara.
Počinje tako što protivnik šalje zahtjev ranjivom Selenium Grid čvorištu s ciljem da izvrši Python program koji sadrži Base64 kodirani korisni teret koji pokreće obrnutu ljusku serveru koji kontrolira napadač (“164.90.149[.]104”) kako bi se dohvatilo konačno opterećenje, modificirana verzija otvorenog koda XMRig rudara.
“Umjesto tvrdog kodiranja IP-a bazena u konfiguraciji rudara, oni ga dinamički generiraju u toku rada”, objasnili su istraživači. “Takođe su postavili XMRigov TLS-otisak prsta unutar dodanog koda (i unutar konfiguracije), osiguravajući da će rudar komunicirati samo sa serverima koje kontrolira akter prijetnje.”
Za dotičnu IP adresu se kaže da pripada legitimnoj usluzi koju je ugrozio haker, jer je takođe utvrđeno da hostuje javno izloženu Selenium Grid instancu.
Wiz je rekao da je moguće izvršiti daljinske komande na novijim verzijama Selena i da je identifikovao više od 30.000 instanci izloženih daljinskom izvršavanju komandi, zbog čega je imperativ da korisnici preduzmu korake da zatvore pogrešnu konfiguraciju.
“Selenium Grid nije dizajniran da bude izložen internetu i njegova zadana konfiguracija nema omogućenu autentifikaciju, tako da svaki korisnik koji ima mrežni pristup čvorištu može komunicirati sa čvorovima putem API-ja”, rekli su istraživači.
“Ovo predstavlja značajan sigurnosni rizik ako je usluga raspoređena na mašini sa javnom IP-om koja ima neadekvatnu politiku zaštitnog zida.”
Izvor:The Hacker News
