正在进行的网络攻击目标暴露了用于加密挖掘的Selenium网格服务

阅读量56326

发布时间 : 2024-07-29 15:01:04

x
译文声明

本文是翻译文章,文章原作者 Newsroom,文章来源:The Hacker News

原文地址:https://thehackernews.com/2024/07/ongoing-cyberattack-targets-exposed.html

译文仅供参考,具体内容表达以及含义原文为准。

网络安全研究人员正在对正在进行的活动发出警报,该活动正在利用互联网暴露的 Selenium Grid 服务进行非法加密货币挖掘。

云安全公司 Wiz 正在以 SeleniumGreed 的名义跟踪该活动。该活动针对旧版本的 Selenium(3.141.59 及更早版本),据信至少从 2023 年 4 月开始进行。

“大多数用户不知道,Selenium WebDriver API可以与机器本身进行完全交互,包括读取和下载文件,以及运行远程命令,”Wiz研究人员Avigayil Mechtinger,Gili Tikochinski和Dor Laska说。

“默认情况下,未为此服务启用身份验证。这意味着许多可公开访问的实例配置错误,任何人都可以访问并被滥用于恶意目的。

Selenium Grid 是 Selenium 自动化测试框架的一部分,支持跨多个工作负载、不同浏览器和各种浏览器版本并行执行测试。

项目维护者在一份支持文档中警告说:“必须使用适当的防火墙权限保护Selenium Grid免受外部访问”,并指出如果不这样做,可能会允许第三方运行任意二进制文件并访问内部Web应用程序和文件。

目前尚不清楚究竟谁是这次袭击活动的幕后黑手。但是,它涉及威胁参与者针对公开暴露的 Selenium Grid 实例,并利用 WebDriver API 运行负责下载和运行 XMRig 矿工的 Python 代码。

它首先由攻击者向易受攻击的 Selenium Grid 中心发送请求,旨在执行包含 Base64 编码有效载荷的 Python 程序,该有效载荷会向攻击者控制的服务器生成反向 shell (“164.90.149[.]104“) 为了获取最终有效载荷,开源 XMRig 矿工的修改版本。

研究人员解释说:“他们不是在矿工配置中对矿池IP进行硬编码,而是在运行时动态生成它。“他们还在添加的代码(以及配置中)设置了 XMRig 的 TLS 指纹功能,确保矿工只与威胁行为者控制的服务器通信。”

据说有问题的 IP 地址属于已被威胁行为者破坏的合法服务,因为它还被发现托管了一个公开暴露的 Selenium Grid 实例。

Wiz表示,在较新版本的Selenium上执行远程命令是可能的,并且它识别了超过30,000个暴露于远程命令执行的实例,因此用户必须采取措施关闭错误配置。

研究人员说:“Selenium Grid不是为暴露在互联网上而设计的,其默认配置没有启用身份验证,因此任何可以通过网络访问中心的用户都可以通过API与节点进行交互。

“如果服务部署在具有防火墙策略不足的公共 IP 的计算机上,这将带来重大的安全风险。”

本文翻译自The Hacker News 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66