Неправильно настроенные серверы Selenium Grid используются для майнинга Monero
Неправильно настроенные серверы Selenium Grid используются для майнинга Monero. Фото: из архива компании Wiz
Selenium Grid — это проект с открытым исходным кодом, который позволяет разработчикам автоматизировать тестирование на нескольких машинах и в разных браузерах. Он используется в облачных средах и имеет более 100 миллионов запросов на Docker Hub.
Тесты распределяются из центрального хаба по узлам сервиса через взаимодействие API, где они выполняются. Узлы имеют различные операционные системы, браузеры и другие изменения среды для предоставления комплексного результата.
Исследователи стартапа Wiz Cloud Security обнаружили, что вредоносная активность, которую они отслеживают как «SeleniumGreed», существует уже более года и использует отсутствие аутентификации в конфигурации сервиса по умолчанию.
Согласно исследованию Wiz, Selenium Grid не имеет механизма аутентификации, активного по умолчанию. В случае использования публичной службы любой может получить доступ к экземплярам тестирования приложений, загрузить файлы и выполнить команды.
В Selenium предупреждает о рисках, связанных с экземплярами, доступными через Интернет, в своей документации, рекомендуя тем, кому нужен удаленный доступ, предотвратить несанкционированный доступ, настроив брандмауэр. Однако этого предупреждения недостаточно для предотвращения неправильных конфигураций в более крупных масштабах.
В Wiz утверждают, что злоумышленники используют API Selenium WebDriver для изменения двоичного пути Chrome по умолчанию в целевом экземпляре, заставляя его указывать на интерпретатор Python.
Затем они используют метод ' add_argument ' для передачи скрипта Python в кодировке base64 в качестве аргумента. Когда WebDriver инициирует запрос на запуск Chrome, он вместо этого запускает интерпретатор Python с другим скриптом.
С помощью него злоумышленник устанавливает обратную оболочку, предоставляя злоумышленникам практически удаленный доступ к экземпляру.
Затем хакеры используют пользователя Selenium («seluser»), который может выполнять команды sudo без пароля, чтобы установить пользовательский майнер XMRig на взломанном экземпляре и настроить его на работу в фоновом режиме.
Чтобы избежать обнаружения, злоумышленники часто использовали скомпрометированные рабочие нагрузки узлов Selenium в качестве промежуточных серверов управления и контроля (C2) для последующих заражений, а также в качестве прокси-серверов пула майнинга.
Отмечается, что хакеры нацелены на старые версии Selenium (v3.141.59), но в Wiz подтверждают, что злоумышленники могут использовать версии позднее четвертой.
Это означает, что стратегия злоумышленников, скорее всего, будет направлена на избежание обнаружения, поскольку они будут нацеливаться на экземпляры, которые хуже обслуживаются и контролируются, а не на эксплуатацию уязвимости, которая существует только в старых версиях.
Сканирование сети Wiz в поисковой системе FOFA на предмет уязвимых сетевых активов показывает, что в настоящее время через общедоступную сеть доступно не менее 30 тыс. экземпляров Selenium.
Хотя результатом деятельности по майнингу криптовалют является увеличение потребления ресурсов, операторы кампании могут использовать свой доступ для развертывания вредоносного ПО, если цели представляют достаточную ценность, отмечают специалисты.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи о теме
Комментариев пока не было