Instâncias de Selenium Grid expostas na internet estão sendo alvo de atores mal-intencionados para mineração ilícita de criptomoedas e campanhas de proxyjacking.
"Selenium Grid é um servidor que facilita a execução de casos de teste em paralelo em diferentes navegadores e versões," disseram os pesquisadores Tara Gould e Nate Bill, da Cado Security, em uma análise publicada hoje.
Entretanto, a configuração padrão do Selenium Grid não possui autenticação, tornando-o vulnerável à exploração por parte de atores de ameaças.
O abuso de instâncias de Selenium Grid acessíveis publicamente para implantar mineradores de criptomoedas foi destacado anteriormente pela firma de segurança em nuvem Wiz no final de julho de 2024 como parte de um cluster de atividades apelidado de SeleniumGreed.
A Cado, que observou duas campanhas diferentes contra seu servidor honeypot, disse que os atores de ameaças estão explorando a falta de proteções de autenticação para realizar um conjunto diversificado de ações maliciosas.
A primeira delas se aproveita do dicionário "goog:chromeOptions" para injetar um script em Python codificado em Base64 que, por sua vez, recupera um script chamado "y," que é o shell reverso de código aberto GSocket.
O shell reverso, posteriormente, serve como meio para introduzir o payload da próxima etapa, um script bash chamado "pl" que recupera IPRoyal Pawn e EarnFM de um servidor remoto via comandos curl e wget.
"IPRoyal Pawns é um serviço de proxy residencial que permite aos usuários vender sua banda larga de internet em troca de dinheiro," disse a Cado.
A conexão de internet do usuário é compartilhada com a rede IPRoyal com o serviço utilizando a banda larga como um proxy residencial, tornando-a disponível para vários propósitos, incluindo propósitos maliciosos.
EarnFM também é uma solução de proxyware que é anunciada como uma maneira "inovadora" de "gerar renda passiva online simplesmente compartilhando sua conexão de internet."
O segundo ataque, como a campanha de proxyjacking, segue o mesmo caminho para entregar um script bash via um script em Python que verifica se está sendo executado em uma máquina de 64 bits e então prossegue para soltar um binário ELF baseado em Golang.
O arquivo ELF subsequente tenta escalar para root aproveitando a falha PwnKit (
CVE-2021-4043
) e solta um minerador de criptomoedas XMRig chamado perfcc.
"Como muitas organizações dependem do Selenium Grid para testes de navegador web, essa campanha destaca ainda mais como instâncias mal configuradas podem ser abusadas por atores de ameaças," disseram os pesquisadores.
Os usuários devem garantir que a autenticação esteja configurada, pois não é habilitada por padrão.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...