Tehdit aktörleri, Monero kripto para birimini madencilik için değiştirilmiş bir XMRIG aracı dağıtmak için popüler bir web uygulaması test çerçevesi olan Selenium Grid'de yanlış yapılandırmadan yararlanıyor.
Selenyum Grid açık kaynaklıdır ve geliştiricilerin birden fazla makine ve tarayıcıda testi otomatikleştirmelerini sağlar. Bulut ortamlarında kullanılır ve Docker Hub'da 100 milyondan fazla çekiş vardır.
Testler, yürütüldükleri API etkileşimi yoluyla merkezi bir merkezden hizmetin düğümlerine dağıtılır. Düğümler, kapsamlı sonuç sağlamak için farklı işletim sistemleri, tarayıcılar ve diğer çevre değişikliklerine sahiptir.
Wiz Cloud Security Startup'taki araştırmacılar, onu “selenyumgreed” olarak izledikleri kötü niyetli etkinliğin bir yıldan fazla sürdüğünü ve hizmetin varsayılan yapılandırmada kimlik doğrulama eksikliğinden yararlandığını keşfettiler.
Wiz Research'e göre, Selenyum Grid'in varsayılan olarak etkin bir kimlik doğrulama mekanizması yoktur. Herkese açık bir hizmet durumunda, herkes uygulama test örneklerine erişebilir, dosyaları indirebilir ve komutları yürütebilir.
Selenyum, belgelerindeki internete maruz kalan örneklerin risklerini uyararak, bir güvenlik duvarı kurarak yetkisiz erişimi önlemek için uzaktan erişime ihtiyaç duyanlara tavsiyelerde bulunur. Ancak, bu uyarı yanlış yakınlaştırmaları daha büyük ölçekte önlemek için yeterli değildir.
Wiz, tehdit aktörlerinin, hedeflenen örnekte varsayılan ikili krom yolunu değiştirmek için Selenium WebDriver API'sinden yararlandığını ve Python tercümanına işaret ettiğini söylüyor.
Daha sonra bir bağımsız değişken olarak Base64 kodlu bir Python komut dosyasını geçmek için "Add_argument" yöntemini kullanırlar. WebDriver Chrome'u başlatma isteği başlattığında, bunun yerine sağlanan komut dosyasıyla Python tercümanını yürütür.
Python komut dosyası ters bir kabuk oluşturur ve saldırganlara örneğe neredeyse uzaktan erişim sağlar.
Ardından, saldırganlar, ihlal edilen örneğe özel bir XMRIG madencisini bırakmak ve arka planda çalışacak şekilde ayarlamak için parola olmadan sudo komutları yürütebilen selenyum kullanıcısına ("Seluser") güvenir.
Tespitten kaçınmak için, saldırganlar genellikle müteakip enfeksiyonlar için ara komut ve kontrol sunucuları (C2) ve ayrıca madencilik havuzu vekilleri olarak uzlaşmış selenyum düğüm iş yüklerini kullandılar.
Saldırganlar Selenium'un eski sürümlerini hedefler (v3.141.59), ancak Wiz, kötüye kullanımın 4'ten daha yakın sürümlerde mümkün olduğunu doğrular.
Bu, saldırganların stratejisinin, yalnızca eski sürümlerde var olan bir kusurdan yararlanmak yerine daha az korunan ve izlenen örnekleri hedefleyerek tespitten kaçınacağı anlamına gelir.
Wiz, “Selenium ızgara hizmetinin uygun kimlik doğrulama ve ağ güvenlik politikalarından yoksun herhangi bir sürümü uzaktan komut yürütmeye karşı savunmasız” diyor.
Araştırmacılar, “Verilerimize dayanarak, bu blogda açıklanan tehdit, Selenium v3.141.59'u hedeflemektir, ancak daha sonraki sürümlerden de yararlanmak için gelişebilir ve diğer tehdit aktörleri bunu zaten yapıyor olabilir” diyor.
Wiz’in ağ varlıkları için FOFA arama motorundaki ağ taramaları, halka açık web üzerinden ulaşılabilecek en az 30.000 selenyum örneğini göstermektedir.
Kriptominasyon etkinliğinin etkileri artan kaynak kullanımı olsa da, kampanyanın operatörleri hedefler yeterince değerliyse kötü amaçlı yazılımları dağıtmak için erişimlerini kullanabilirler.
Temel kimlik doğrulamasının nasıl sağlanacağı ve selenyum ızgaralarının yetkisiz harici erişimden nasıl korunacağı konusunda yardım için, hizmetin resmi yönergelerini buradan izleyin.
P2Pinfect Botnet Yeni Fidye Yazılımı Modülü ile REDIS Sunucuları Hedefler
Crystalray Hacker, SSH-Snake Aracı kullanarak 1.500 ihlal sistemine genişliyor
Kaynak: Bleeping Computer