Selenium Grid的配置错误被滥用于挖掘加密货币

admin 2024年7月30日10:56:43评论11 views字数 1077阅读3分35秒阅读模式
Selenium Grid的配置错误被滥用于挖掘加密货币

威胁行为者正在利用Selenium Grid的配置错误来部署修改版的XMRig工具,用于挖掘Monero(门罗币)加密货币。

Selenium Grid是一个流行的开源Web应用测试框架,它允许开发者在多台机器和浏览器上自动化测试。它在云环境中使用,并且在Docker Hub上的下载量超过1亿次。

Selenium Grid的配置错误被滥用于挖掘加密货币

Selenium测试概述

来源:Wiz

测试任务通过API交互从中央集线器分发到服务的各个节点上执行,这些节点具有不同的操作系统、浏览器和其他环境变化,以提供全面的测试结果。

云安全公司Wiz的研究人员发现,他们正在跟踪的恶意活动“SeleniumGreed”已经运行了一年多。这个活动利用了服务在默认配置中缺乏认证机制的弱点。

根据Wiz的研究,Selenium Grid默认情况下没有激活的身份验证机制。对于公开的服务,任何人都可以访问应用程序测试实例、下载文件和执行命令。

Selenium 在其文档中警告了互联网暴露实例的风险,建议那些需要远程访问的人通过设置防火墙来防止未经授权的访问。然而,这个警告不足以防止更大规模的错误配置。

Wiz提到,威胁行为者正在利用Selenium WebDriver API来更改目标实例中Chrome的默认二进制路径,使其指向Python解释器。然后,它们使用“add_argument”方法将base64编码的Python脚本作为参数传递。当WebDriver发起启动Chrome的请求时,它会使用提供的脚本执行Python解释器。

Selenium Grid的配置错误被滥用于挖掘加密货币

攻击中使用的漏洞利用脚本

来源:Wiz

Python脚本建立了一个反向shell,使攻击者几乎可以远程访问实例。接下来,攻击者依靠Selenium用户(seluser),可以在没有密码的情况下执行sudo命令,在被破坏的实例上放置自定义XMRig矿工,并将其设置为在后台运行。

为了逃避检测,攻击者经常使用受损的Selenium节点工作负载作为后续感染的中间命令和控制服务器(C2),以及作为采矿池代理。

Wiz公司使用FOFA搜索引擎对公开网络上暴露的网络资产进行了扫描,结果显示至少有30,000个Selenium实例目前可以通过公共网络访问到。

Wiz在报告中说:“任何缺乏适当身份验证和网络安全策略的Selenium Grid服务版本都容易受到远程命令执行的攻击。”

“根据我们的数据,本博客中描述的威胁针对的是Selenium v3.141.59,但它也可能演变为利用更高版本,其他威胁行为者可能已经这样做了,”研究人员指出。

原文始发于微信公众号(E安全):Selenium Grid的配置错误被滥用于挖掘加密货币

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月30日10:56:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Selenium Grid的配置错误被滥用于挖掘加密货币https://cn-sec.com/archives/3014187.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息