Los actores de amenazas infectan los servidores de Selenium Grid expuestos a Internet, con el objetivo de utilizar el ancho de banda de Internet de las víctimas para criptominería, proxyjacking y, potencialmente, cosas mucho peores.
Selenium es un conjunto de herramientas de código abierto para la automatización de navegadores que, según datos de Wiz, está presente en el 30% de los entornos de nube. Selenium Grid es su herramienta de código abierto para probar automáticamente aplicaciones web en múltiples plataformas y navegadores en paralelo, utilizada por millones de desarrolladores y miles de organizaciones en todo el mundo. Su imagen acoplable Selenium/hub tiene más de 100 millones de extracciones en Docker Hub.
Aunque es una herramienta interna por naturaleza, hoy en día decenas de miles de servidores Selenium Grid están expuestos en Internet. A su vez, al menos algunos piratas informáticos han implementado malware automatizado destinado a secuestrar estos servidores con diversos fines maliciosos.
Para evaluar los tipos de amenazas que enfrentan estos servidores desatendidos, Cado Security lanzó recientemente un tarro de mielComo recuerda Al Carchrie, ingeniero jefe de soluciones de I+D de Cado Security: “Implementamos el honeypot un martes y luego comenzamos a ver actividad en 24 horas. »
Secuestro de proxy de selenio
Durante el período de investigación, dos amenazas principales intentaron automáticamente atacar el honeypot día tras día.
El primero implementó una serie de scripts, incluido uno llamado “y”, que eliminó el kit de herramientas de red de código abierto GSocket. GSocket está diseñado para permitir que dos usuarios detrás de firewalls establezcan una conexión TCP segura. Sin embargo, en este y otros casos, los actores maliciosos lo utilizaron como medio de mando y control (C2).
Siguieron dos scripts, “pl” y “tm”, que realizaron varias funciones de reconocimiento (análisis de la arquitectura del sistema, verificación de privilegios de root, etc.) y eliminaron las principales cargas útiles de la campaña: la aplicación Pawns (IPRoyal Pawn) y EarnFM. Cada uno de ellos es proxyware, es decir, programas que permiten a los usuarios alquilar el ancho de banda de Internet no utilizado.
Aunque servicios como estos se venden legalmente, los piratas informáticos pueden utilizarlos fácilmente para sus propios fines. Llamado “secuestro de proxy“Esto implica secuestrar la dirección IP de un usuario de Internet desprevenido para utilizarla como servidor proxy personal para otras actividades maliciosas o venderla a otro ciberdelincuente.
“Esto permite a las personas esconderse detrás de direcciones IP legítimas para intentar eludir el filtrado de IP que implementarían las organizaciones”, explica Carchrie. “Entonces, si estás usando Tor para intentar mantenerte anónimo, las organizaciones pueden incluir en la lista negra las direcciones IP de Tor para evitar que accedan a su infraestructura. Esto les da una oportunidad. Esta es la primera vez que veo personalmente que se utiliza el proxyjacking como objetivo final de una campaña. »
El selenio enfrenta mayores amenazas
El segundo ataque detectado por el honeypot fue similar en su forma inicial de infección, pero eliminó un binario de formato ejecutable enlazable (ELF) basado en Golang. El ELF, a su vez, intentó utilizar “PwnKit”, un exploit público para CVE-2021-4043, un antiguo error de escalada de privilegios de Linux de gravedad media (puntuación CVSS 5,5).
Luego, el malware se conectó a la infraestructura C2 de un atacante y lanzó “perfcc”, un criptominero. De esta manera se puso en paralelo una campaña diferente, que dura todo el año revelado por Wiz en julio pasado, que utilizó Selenium Grid como vector para implementar el minero XMRig.
Como explica Ami Luttwak, CTO y cofundador de Wiz, el mismo tipo de ataque se puede utilizar para hacer cosas mucho peores.
“Recuerde que Selenium generalmente funciona en entornos de prueba”, explica. “Los entornos de prueba tienen código propietario y, a menudo, desde esos entornos se puede acceder a entornos de ingeniería o producción. Por tanto, un atacante más avanzado podría utilizarlo para atacar a la organización expuesta. »
30.000 servidores expuestos públicamente
Al ser una herramienta interna por naturaleza, Selenium Grid no tiene autenticación para evitar que los atacantes entren. Sus mantenedores tienen advertido en la documentación que “debe estar protegido del acceso externo mediante permisos de firewall adecuados”.
Sin embargo, en julio, Wiz descubrió alrededor de 15.000 servidores Selenium Grid actualizados pero expuestos a Internet. Peor aún: más de 17.000 estuvieron expuestos a Internet y ejecutaron versiones obsoletas. (Desde entonces, este número ha aumentado en 15.000). cayó por debajo de 16.000.) La gran mayoría de ellos tenían su sede en Estados Unidos y Canadá.
Así que era sólo cuestión de tiempo que los malos actores aprovecharan esta oportunidad. Se reportó el primer indicio documentado de esta situación en una publicación en Reddit.
“Selenium está diseñado para ser un servicio de pruebas internas”, enfatiza Luttwak. “En la mayoría de los casos, no se supone que sea accesible al público. De ser así, existe un riesgo que debe mitigarse. »
Carchrie aconseja: “Si necesita que se pueda acceder a su Selenium Grid a través de Internet, le recomendamos implementar un servidor proxy de autenticación configurado correctamente frente a la aplicación Selenium Grid utilizando la autenticación multifactor, así como el nombre de usuario y las contraseñas. »
No te pierdas las últimas noticias Podcast confidencial de lectura oscura, donde hablamos con dos profesionales de la ciberseguridad que fueron arrestados en el condado de Dallas, Iowa, y obligados a pasar la noche en la cárcel, simplemente por realizar su trabajo de pruebas de penetración. ¡Escuche ahora!