Οι κακόβουλοι παράγοντες εκμεταλλεύονται μια εσφαλμένη διαμόρφωση στο Selenium Grid, ένα δημοφιλές πλαίσιο δοκιμών εφαρμογών web, για να αναπτύξουν ένα τροποποιημένο εργαλείο XMRig για την εξόρυξη κρυπτονομισμάτων Monero.
Δείτε επίσης: Vastaamo: Ο χάκερ της εταιρείας εντοπίστηκε μέσω συναλλαγών Monero
Το Selenium Grid είναι ανοιχτού κώδικα και επιτρέπει στους προγραμματιστές να αυτοματοποιούν τις δοκιμές σε πολλαπλά μηχανήματα και προγράμματα περιήγησης. Χρησιμοποιείται σε περιβάλλοντα cloud και έχει περισσότερα από 100 εκατομμύρια pulls στο Docker Hub.
Οι δοκιμές διανέμονται από έναν κεντρικό κόμβο στους κόμβους της υπηρεσίας μέσω αλληλεπίδρασης API, όπου και εκτελούνται. Οι κόμβοι διαθέτουν διαφορετικά λειτουργικά συστήματα, προγράμματα περιήγησης και άλλες αλλαγές περιβάλλοντος για να παρέχουν ολοκληρωμένο αποτέλεσμα.
Ερευνητές της Wiz ανακάλυψαν ότι η κακόβουλη δραστηριότητα, γνωστή ως “SeleniumGreed” εκτελείται για περισσότερο από ένα χρόνο και εκμεταλλεύεται την έλλειψη ελέγχου ταυτότητας της υπηρεσίας στην προεπιλεγμένη διαμόρφωση. Σύμφωνα με την έρευνα της Wiz, το Selenium Grid δεν έχει ενεργό μηχανισμό ελέγχου ταυτότητας από προεπιλογή. Στην περίπτωση μιας υπηρεσίας που εκτίθεται δημόσια, οποιοσδήποτε μπορεί να έχει πρόσβαση σε δοκιμές εφαρμογών, να κατεβάσει αρχεία και να εκτελέσει εντολές.
Το Selenium προειδοποιεί για τις περιπτώσεις που εκτίθενται στο διαδίκτυο, συμβουλεύοντας όσους χρειάζονται απομακρυσμένη πρόσβαση να αποτρέψουν τη μη εξουσιοδοτημένη πρόσβαση δημιουργώντας ένα τείχος προστασίας. Ωστόσο, αυτή η προειδοποίηση δεν είναι αρκετή για την αποτροπή εσφαλμένων διαμορφώσεων σε μεγαλύτερη κλίμακα.
Η Wiz λέει ότι οι κακόβουλοι παράγοντες αξιοποιούν το Selenium WebDriver API για να αλλάξουν την προεπιλεγμένη δυαδική διαδρομή του Chrome στη στοχευμένη παρουσία, κάνοντάς την να δείχνει προς τον διερμηνέα Python.
Δείτε ακόμα: Το σφάλμα RCE regreSSHion του OpenSSH δίνει πρόσβαση root σε διακομιστές Linux
Στη συνέχεια χρησιμοποιούν τη μέθοδο «add_argument» για να περάσουν ως όρισμα ένα σενάριο Python με κωδικοποίηση base64. Όταν το WebDriver εκκινεί ένα αίτημα για εκκίνηση του Chrome, εκτελεί τον διερμηνέα Python με το εν λόγω σενάριο.
Το σενάριο Python δημιουργεί ένα reverse shell, δίνοντας στους εισβολείς απομακρυσμένη πρόσβαση στο στιγμιότυπο. Στη συνέχεια, οι εισβολείς βασίζονται στον χρήστη Selenium («seluser»), που μπορεί να εκτελέσει εντολές sudo χωρίς κωδικό πρόσβασης, για να ρίξει ένα προσαρμοσμένο XMRig miner στην παρουσία που έχει παραβιαστεί και να το ρυθμίσει να εκτελείται στο παρασκήνιο.
Για να αποφύγουν τον εντοπισμό, οι εισβολείς χρησιμοποιούσαν συχνά παραβιασμένους φόρτους εργασίας κόμβων Selenium ως ενδιάμεσους διακομιστές εντολών και ελέγχου (C2) για επακόλουθες μολύνσεις και επίσης ως διακομιστές εξόρυξης pool.
Οι εισβολείς στοχεύουν παλαιότερες εκδόσεις του Selenium Grid (v3.141.59), αλλά η Wiz επιβεβαιώνει ότι η κατάχρηση είναι δυνατή σε πιο πρόσφατες εκδόσεις από την 4. Αυτό σημαίνει ότι η στρατηγική των επιτιθέμενων είναι πιθανό να αποφύγει τον εντοπισμό στοχεύοντας στιγμιότυπα που συντηρούνται και παρακολουθούνται λιγότερο αντί να εκμεταλλευτεί ένα ελάττωμα που υπάρχει μόνο σε παλαιότερες εκδόσεις.
Για βοήθεια σχετικά με τον τρόπο ενεργοποίησης του βασικού ελέγχου ταυτότητας και προστασίας του Selenium Grid από μη εξουσιοδοτημένη εξωτερική πρόσβαση, ακολουθήστε τις επίσημες οδηγίες της υπηρεσίας εδώ.
Δείτε επίσης: Το Lucifer DDoS malware επιτίθεται σε διακομιστές Apache
Η κακόβουλη εξόρυξη κρυπτονομισμάτων, όπως στην περίπτωση του Selenium Grid, είναι μια ολοένα και πιο διαδεδομένη μορφή εγκλήματος στον κυβερνοχώρο όπου οι εισβολείς εκμεταλλεύονται την υπολογιστική ισχύ των συσκευών ανυποψίαστων χρηστών για την εξόρυξη κρυπτονομισμάτων χωρίς τη συγκατάθεσή τους. Αυτή η παράνομη πρακτική μπορεί να συμβεί με διάφορα μέσα, όπως η ενσωμάτωση σεναρίων εξόρυξης σε παραβιασμένους ιστότοπους ή η χρήση κακόβουλου λογισμικού για διείσδυση σε προσωπικούς υπολογιστές. Οι συνέπειες για τα θύματα μπορεί να είναι σοβαρές, οδηγώντας σε υποβαθμισμένη απόδοση της συσκευής, αυξημένη κατανάλωση ενέργειας και πιθανές ευπάθειες ασφαλείας. Είναι σημαντικό για τα άτομα και τις επιχειρήσεις να παραμείνουν σε επαγρύπνηση και να εφαρμόσουν αποτελεσματικές στρατηγικές κυβερνοασφάλειας για να προστατεύσουν τις συσκευές τους από κακόβουλες δραστηριότητες εξόρυξης.
Πηγή: bleepingcomputer
