Pesquisadores de segurança cibernética estão soando o alarme sobre uma campanha em andamento que está aproveitando os serviços do Selenium Grid expostos na Web para mineração ilícita de criptomoedas.
A empresa de segurança em nuvem Wiz está rastreando a atividade sob o nome SelênioGanância. Acredita-se que a campanha, que tem como alvo versões mais antigas do Selenium (3.141.59 e anteriores), esteja em andamento desde pelo menos abril de 2023.
“Desconhecido pela maioria dos usuários, a API Selenium WebDriver permite interação completa com a própria máquina, incluindo leitura e obtain de arquivos e execução de comandos remotos”, disseram os pesquisadores do Wiz Avigayil Mechtinger, Gili Tikochinski e Dor Laska.
“Por padrão, a autenticação não está habilitada para este serviço. Isso significa que muitas instâncias publicamente acessíveis estão mal configuradas e podem ser acessadas por qualquer pessoa e abusadas para propósitos maliciosos.”
O Selenium Grid, parte da estrutura de testes automatizados do Selenium, permite a execução paralela de testes em diversas cargas de trabalho, diferentes navegadores e várias versões de navegadores.
“O Selenium Grid deve ser protegido contra acesso externo usando permissões de firewall apropriadas”, alertam os mantenedores do projeto em uma documentação de suporte, afirmando que não fazer isso pode permitir que terceiros executem binários arbitrários e acessem aplicativos e arquivos da net internos.
Exatamente quem está por trás da campanha de ataque ainda não é conhecido. No entanto, envolve o ator da ameaça mirando instâncias expostas publicamente do Selenium Grid e fazendo uso da API WebDriver para executar o código Python responsável por baixar e executar um minerador XMRig.
Tudo começa com o adversário enviando uma solicitação ao hub vulnerável do Selenium Grid com o objetivo de executar um programa Python contendo uma carga útil codificada em Base64 que gera um shell reverso em um servidor controlado pelo invasor (“164.90.149(.)104”) para buscar a carga útil remaining, uma versão modificada do minerador XMRig de código aberto.
“Em vez de codificar o pool IP na configuração do minerador, eles o geram dinamicamente em tempo de execução”, explicaram os pesquisadores. “Eles também definem o recurso TLS-fingerprint do XMRig dentro do código adicionado (e dentro da configuração), garantindo que o minerador se comunicará apenas com servidores controlados pelo agente da ameaça.”
Diz-se que o endereço IP em questão pertence a um serviço legítimo que foi comprometido pelo agente da ameaça, pois também foi descoberto que ele hospeda uma instância do Selenium Grid exposta publicamente.
Wiz disse que é possível executar comandos remotos em versões mais recentes do Selenium e que identificou mais de 30.000 instâncias expostas à execução de comandos remotos, tornando imperativo que os usuários tomem medidas para fechar a configuração incorreta.
“O Selenium Grid não foi projetado para ser exposto à web e sua configuração padrão não tem autenticação habilitada, então qualquer usuário que tenha acesso à rede do hub pode interagir com os nós by way of API”, disseram os pesquisadores.
“Isso representa um risco de segurança significativo se o serviço for implantado em uma máquina com um IP público que tenha uma política de firewall inadequada.”
