网络安全研究人员正在对正在进行的活动发出警报,该活动正在利用互联网暴露的 Selenium Grid 服务进行非法加密货币挖掘。
云安全公司 Wiz 正在以 SeleniumGreed 的名义跟踪该活动。该活动针对旧版本的 Selenium(3.141.59 及更早版本),据信至少从 2023 年 4 月开始进行。
“大多数用户不知道,Selenium WebDriver API可以与机器本身进行完全交互,包括读取和下载文件,以及运行远程命令,”Wiz研究人员Avigayil Mechtinger,Gili Tikochinski和Dor Laska说。
“默认情况下,未为此服务启用身份验证。这意味着许多可公开访问的实例配置错误,任何人都可以访问并被滥用于恶意目的。
Selenium Grid 是 Selenium 自动化测试框架的一部分,支持跨多个工作负载、不同浏览器和各种浏览器版本并行执行测试。
目前尚不清楚究竟谁是这次袭击活动的幕后黑手。但是,它涉及威胁参与者针对公开暴露的 Selenium Grid 实例,并利用 WebDriver API 运行负责下载和运行 XMRig 矿工的 Python 代码。
它首先由攻击者向易受攻击的 Selenium Grid 中心发送请求,旨在执行包含 Base64 编码有效载荷的 Python 程序,该有效载荷会向攻击者控制的服务器生成反向 shell (“164.90.149[.]104“) 为了获取最终有效载荷,开源 XMRig 矿工的修改版本。
研究人员解释说:“他们不是在矿工配置中对矿池IP进行硬编码,而是在运行时动态生成它。“他们还在添加的代码(以及配置中)设置了 XMRig 的 TLS 指纹功能,确保矿工只与威胁行为者控制的服务器通信。”
据说有问题的 IP 地址属于已被威胁行为者破坏的合法服务,因为它还被发现托管了一个公开暴露的 Selenium Grid 实例。
Wiz表示,在较新版本的Selenium上执行远程命令是可能的,并且它识别了超过30,000个暴露于远程命令执行的实例,因此用户必须采取措施关闭错误配置。
研究人员说:“Selenium Grid不是为暴露在互联网上而设计的,其默认配置没有启用身份验证,因此任何可以通过网络访问中心的用户都可以通过API与节点进行交互。
“如果服务部署在具有防火墙策略不足的公共 IP 的计算机上,这将带来重大的安全风险。”
发表评论
您还未登录,请先登录。
登录