Les acteurs de la menace exploitent une mauvaise configuration de Selenium Grid, un framework de test d’applications Web populaire, pour déployer un outil XMRig modifié pour l’extraction de la crypto-monnaie Monero.
Selenium Grid est open source et permet aux développeurs d’automatiser les tests sur plusieurs machines et navigateurs. Il est utilisé dans des environnements cloud et compte plus de 100 millions de tirages sur Docker Hub.
Les tests sont distribués depuis un hub central vers les nœuds du service via une interaction API, où ils sont exécutés. Les nœuds présentent différents systèmes d’exploitation, navigateurs et autres changements d’environnement pour fournir des résultats complets.
Des chercheurs de la start-up de sécurité dans le cloud Wiz ont découvert que l’activité malveillante qu’ils suivaient sous le nom de “SeleniumGreed” était en cours depuis plus d’un an et tirait parti du manque d’authentification du service dans la configuration par défaut.
Attaques de cupidité au sélénium
Selon Wiz research, Selenium Grid n’a pas de mécanisme d’authentification actif par défaut. Dans le cas d’un service exposé publiquement, n’importe qui peut accéder aux instances de test d’application, télécharger des fichiers et exécuter des commandes.
Selenium met en garde contre les risques des instances exposées à Internet dans sa documentation, conseillant à ceux qui ont besoin d’un accès à distance d’empêcher tout accès non autorisé en mettant en place un pare-feu. Cependant, cet avertissement n’est pas suffisant pour éviter les erreurs de configuration à plus grande échelle.
Wiz dit que les acteurs de la menace exploitent l’API Selenium WebDriver pour modifier le chemin binaire par défaut de Chrome dans l’instance ciblée, en le faisant pointer vers l’interpréteur Python.
Ils utilisent ensuite la méthode’ add_argument ‘ pour passer un script Python encodé en base64 comme argument. Lorsque le pilote Web lance une demande de lancement de Chrome, il exécute l’interpréteur Python avec le script fourni à la place.
Le script Python établit un shell inversé, donnant aux attaquants un accès presque à distance à l’instance.
Ensuite, les attaquants s’appuient sur l’utilisateur Selenium (‘seluser’’, qui peut exécuter des commandes sudo sans mot de passe, pour déposer un mineur XMRig personnalisé sur l’instance violée et le configurer pour qu’il s’exécute en arrière-plan.
Pour échapper à la détection, les attaquants ont souvent utilisé des charges de travail de nœuds Sélénium compromis comme serveurs de commande et de contrôle intermédiaires (C2) pour les infections ultérieures et également comme proxy de pool de minage.
Les attaquants ciblent les anciennes versions de Selenium (v3. 141. 59), mais Wiz confirme que l’abus est possible sur les versions plus récentes que 4.
Cela signifie que la stratégie des attaquants est susceptible d’échapper à la détection en ciblant des instances moins maintenues et surveillées plutôt que d’exploiter une faille qui n’existe que sur les anciennes versions.
“Toute version du service Selenium Grid dépourvue de politiques d’authentification et de sécurité réseau appropriées est vulnérable à l’exécution de commandes à distance”, indique Wiz dans le rapport.
“Sur la base de nos données, la menace décrite dans ce blog cible Selenium v3.141.59, mais elle pourrait également évoluer pour exploiter les versions ultérieures, et d’autres acteurs de la menace pourraient déjà le faire”, notent les chercheurs.
Les analyses de réseau de Wiz sur le moteur de recherche FOFA pour les actifs de réseau exposés montrent au moins 30 000 instances de Sélénium actuellement accessibles sur le Web public.
Bien que les effets de l’activité de cryptomining soient une utilisation accrue des ressources, les opérateurs de la campagne pourraient utiliser leur accès pour déployer des logiciels malveillants si les cibles sont suffisamment précieuses.
Pour obtenir de l’aide sur l’activation de l’authentification de base et la protection des grilles de sélénium contre les accès externes non autorisés, suivez les directives officielles du service ici.