Investigadores de ciberseguridad hacen sonar la alarma por una campaña en curso que explota datos expuestos en Internet Servicios de red de selenio por minería ilícita de criptomonedas.
Cloud Security Wiz rastrea la actividad bajo el nombre SelenioCodiciaSegún se informa, la campaña, dirigida a versiones anteriores de Selenium (3.141.59 y anteriores), está en curso. desde al menos abril de 2023.
“Sin que la mayoría de los usuarios lo sepan, la API Selenium WebDriver permite una interacción completa con la propia máquina, incluida la lectura y descarga de archivos y la ejecución de comandos remotos”, explican los investigadores de Wiz Avigayil Mechtinger, Gili Tikochinski y Dor Laska. dicho.
“De forma predeterminada, la autenticación no está habilitada para este servicio. Esto significa que muchas instancias disponibles públicamente están mal configuradas y cualquier persona puede acceder a ellas y utilizarlas con fines maliciosos. »
Selenium Grid, parte del marco de pruebas automatizadas de Selenium, permite la ejecución paralela de pruebas en múltiples cargas de trabajo, diferentes navegadores y diferentes versiones de navegador.
“Selenium Grid debe protegerse del acceso externo mediante permisos de firewall adecuados”, dijeron los gerentes de proyecto. advertir en la documentación de soporte, indicando que no hacerlo podría permitir que terceros ejecuten archivos binarios arbitrarios y accedan a aplicaciones y archivos web internos.
No está claro quién está detrás de esta campaña de ataque. Sin embargo, el actor de amenazas apunta a instancias de Selenium Grid expuestas públicamente y utiliza la API WebDriver para ejecutar el código Python responsable de descargar y ejecutar un minero XMRig.
Todo comienza cuando el adversario envía una solicitud al vulnerable centro Selenium Grid con el objetivo de ejecutar un programa Python que contiene una carga útil codificada en Base64 que genera un shell inverso en un servidor controlado por el atacante (” 164.90.149[.]104″) para recuperar la carga útil final, una versión modificada del minero de código abierto XMRig.
“En lugar de codificar la dirección IP del grupo en la configuración del minero, la generan dinámicamente en tiempo de ejecución”, explicaron los investigadores. “También definieron la función de huellas digitales TLS de XMRig en el código agregado (y en la configuración), asegurando que el minero solo se comunicará con servidores controlados por el actor de la amenaza. »
Según se informa, la dirección IP en cuestión pertenece a un servicio legítimo que fue comprometido por el actor de la amenaza, ya que también se descubrió que albergaba una instancia de Selenium Grid expuesta públicamente.
Wiz dijo que es posible ejecutar comandos remotos en versiones más nuevas de Selenium y que ha identificado más de 30.000 instancias expuestas a la ejecución remota de comandos, lo que hace imperativo que los usuarios tomen medidas para corregir la configuración incorrecta.
“Selenium Grid no está diseñado para estar expuesto a Internet y su configuración predeterminada no tiene habilitada la autenticación, por lo que cualquier usuario con acceso a la red central puede interactuar con los nodos a través de la API”, dijeron los investigadores.
“Esto plantea un riesgo de seguridad importante si el servicio se implementa en una máquina con una dirección IP pública que tiene una política de firewall inadecuada. »