Ataque cibernético visa mineração de criptomoedas na Selenium Grid

Pesquisadores de segurança cibernética estão soando o alarme sobre uma campanha em andamento que está aproveitando os serviços Selenium Grid expostos à Internet para mineração ilícita de criptomoedas.

A empresa de segurança em nuvem Wiz está rastreando a atividade sob o nome SeleniumGreed. Acredita-se que a campanha, que tem como alvo versões mais antigas do Selenium (3.141.59 e anteriores), esteja em andamento desde pelo menos abril de 2023.

"Sem o conhecimento da maioria dos usuários, a API do Selenium WebDriver permite interação total com a própria máquina, incluindo leitura e download de arquivos e execução de comandos remotos", disseram os pesquisadores da Wiz Avigayil Mechtinger, Gili Tikochinski e Dor Laska.

"Por padrão, a autenticação não está habilitada para este serviço. Isso significa que muitas instâncias acessíveis ao público estão mal configuradas e podem ser acessadas por qualquer pessoa e abusadas para fins maliciosos."

O Selenium Grid, parte da estrutura de teste automatizado Selenium, permite a execução paralela de testes em várias cargas de trabalho, navegadores diferentes e várias versões de navegador.

"O Selenium Grid deve ser protegido contra acesso externo usando permissões de firewall apropriadas", alertam os mantenedores do projeto em uma documentação de suporte, afirmando que não fazer isso pode permitir que terceiros executem binários arbitrários e acessem aplicativos e arquivos internos da web.

Exatamente quem está por trás da campanha de ataque não é conhecido atualmente. No entanto, envolve o agente da ameaça visando instâncias publicamente expostas do Selenium Grid e fazendo uso da API WebDriver para executar o código Python responsável por baixar e executar um minerador XMRig.

Começa com o adversário enviando uma solicitação ao hub Selenium Grid vulnerável com o objetivo de executar um programa Python contendo uma carga útil codificada em Base64 que gera um shell reverso para um servidor controlado pelo invasor ("164.90.149[.] 104") para buscar a carga útil final, uma versão modificada do minerador XMRig de código aberto.

"Em vez de codificar o IP do pool na configuração do minerador, eles o geram dinamicamente em tempo de execução", explicaram os pesquisadores. "Eles também definem o recurso de impressão digital TLS do XMRig dentro do código adicionado (e dentro da configuração), garantindo que o minerador se comunique apenas com servidores controlados pelo agente da ameaça."

Diz-se que o endereço IP em questão pertence a um serviço legítimo que foi comprometido pelo agente da ameaça, pois também foi descoberto que hospeda uma instância do Selenium Grid exposta publicamente.

Wiz disse que é possível executar comandos remotos em versões mais recentes do Selenium e que identificou mais de 30.000 instâncias expostas à execução remota de comandos, tornando imperativo que os usuários tomem medidas para fechar a configuração incorreta.

"O Selenium Grid não foi projetado para ser exposto à Internet e sua configuração padrão não tem autenticação habilitada, portanto, qualquer usuário que tenha acesso à rede ao hub pode interagir com os nós via API", disseram os pesquisadores.

"Isso representa um risco de segurança significativo se o serviço for implantado em uma máquina com um IP público que tenha uma política de firewall inadequada."