Pesquisadores de cibersegurança estão soando o alarme sobre uma campanha em andamento que está explorando serviços do Selenium Grid expostos na internet para mineração ilícita de criptomoedas.
A empresa de segurança em nuvem Wiz está acompanhando a atividade sob o nome de SeleniumGreed.
A campanha, que visa versões anteriores do Selenium (3.141.59 e anteriores), acredita-se estar em andamento desde pelo menos abril de 2023.
"Sem que a maioria dos usuários saiba, a API Selenium WebDriver possibilita a interação completa com a própria máquina, incluindo leitura e download de arquivos, e execução de comandos remotos," disseram os pesquisadores da Wiz, Avigayil Mechtinger, Gili Tikochinski e Dor Laska.
Por padrão, a autenticação não está habilitada para este serviço. Isso significa que muitas instâncias publicamente acessíveis estão mal configuradas e podem ser acessadas por qualquer pessoa e usadas para fins maliciosos.
O Selenium Grid, parte do framework de testes automatizados Selenium, permite a execução paralela de testes em múltiplas cargas de trabalho, diferentes navegadores e várias versões de navegador.
O Selenium Grid deve ser protegido de acessos externos usando permissões de firewall apropriadas, alertam os mantenedores do projeto em uma documentação de suporte, afirmando que falhar em fazer isso poderia permitir que terceiros executassem binários arbitrários e acessassem aplicações web internas e arquivos.
Ainda não se sabe exatamente quem está por trás da campanha de ataque.
No entanto, envolve o ator de ameaça visando instâncias do Selenium Grid expostas publicamente e fazendo uso da API WebDriver para executar código Python responsável por baixar e executar um minerador XMRig.
Tudo começa com o adversário enviando uma solicitação ao hub do Selenium Grid vulnerável com o objetivo de executar um programa Python contendo um payload codificado em Base64 que cria um shell reverso para um servidor controlado pelo atacante ("164.90.149[.]104") a fim de buscar o payload final, uma versão modificada do minerador de código aberto XMRig.
"Em vez de codificar o IP do pool na configuração do minerador, eles o geram dinamicamente em tempo de execução," explicaram os pesquisadores.
Eles também definem a funcionalidade TLS fingerprint do XMRig dentro do código adicionado (e dentro da configuração), garantindo que o minerador só se comunique com servidores controlados pelo ator de ameaça.
Diz-se que o endereço IP em questão pertence a um serviço legítimo que foi comprometido pelo ator de ameaça, pois também foi encontrado hospedando uma instância do Selenium Grid exposta publicamente.
A Wiz disse ser possível executar comandos remotos em versões mais recentes do Selenium e que identificou mais de 30.000 instâncias expostas à execução de comando remoto, tornando imperativo que os usuários tomem medidas para fechar a má configuração.
"O Selenium Grid não é projetado para ser exposto à internet e sua configuração padrão não tem autenticação habilitada, então qualquer usuário que tenha acesso à rede ao hub pode interagir com os nós via API," disseram os pesquisadores.
Isso representa um risco significativo à segurança se o serviço for implantado em uma máquina com um IP público que tenha uma política de firewall inadequada.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...