I ricercatori di sicurezza informatica stanno lanciando l'allarme su una campagna in corso che sfrutta i servizi Selenium Grid esposti su internet per il mining illecito di criptovalute. La società di sicurezza cloud Wiz ha identificato questa attività con il nome di SeleniumGreed. La campagna, che prende di mira le versioni più vecchie di Selenium (3.141.59 e precedenti), è in corso almeno da aprile 2023.
Selenium WebDriver API permette un'interazione completa con la macchina stessa, inclusa la lettura e il download di file e l'esecuzione di comandi remoti. Tuttavia, per impostazione predefinita, l'autenticazione non è abilitata per questo servizio. Questo significa che molte istanze accessibili pubblicamente sono mal configurate e possono essere sfruttate da chiunque per scopi malevoli. Selenium Grid, parte del framework di test automatizzato Selenium, consente l'esecuzione parallela di test su più carichi di lavoro, diversi browser e varie versioni di browser.
Istruzioni per la sicurezza
I manutentori del progetto avvertono che Selenium Grid deve essere protetto dall'accesso esterno utilizzando permessi firewall appropriati. La mancata attuazione di queste misure potrebbe consentire a terze parti di eseguire binari arbitrari e accedere ad applicazioni web interne e file. Non è ancora noto chi sia dietro questa campagna di attacco, ma l'attore della minaccia prende di mira le istanze di Selenium Grid esposte pubblicamente e utilizza l'API WebDriver per eseguire codice Python che scarica ed esegue un miner XMRig.
Il processo inizia con l'avversario che invia una richiesta all'hub vulnerabile di Selenium Grid, con l'intento di eseguire un programma Python contenente un payload codificato in Base64 che genera una shell inversa verso un server controllato dall'attaccante per recuperare il payload finale, una versione modificata del miner XMRig open source. Invece di codificare l'IP del pool nella configurazione del miner, questo viene generato dinamicamente al runtime. Viene anche impostata la funzione TLS-fingerprint di XMRig all'interno del codice aggiunto e della configurazione, assicurando che il miner comunichi solo con server controllati dall'attore della minaccia. L'indirizzo IP in questione appartiene a un servizio legittimo compromesso dall'attore della minaccia, poiché è stato trovato ospitare una istanza di Selenium Grid esposta pubblicamente.
Wiz ha affermato che è possibile eseguire comandi remoti anche sulle versioni più recenti di Selenium e che ha identificato oltre 30.000 istanze esposte all'esecuzione di comandi remoti, rendendo imperativo che gli utenti prendano misure per correggere la configurazione errata. Selenium Grid non è progettato per essere esposto a internet e la sua configurazione predefinita non ha l'autenticazione abilitata, quindi qualsiasi utente con accesso alla rete all'hub può interagire con i nodi tramite API. Questo rappresenta un rischio significativo se il servizio è distribuito su una macchina con IP pubblico che ha una politica firewall inadeguata.