As instâncias do Selenium Grid expostas na Internet foram alvo de maus atores em mineração ilegal de criptomoedas e campanhas de roubo de proxy.
“Selenium Grid é um servidor que ajuda a executar casos de teste em paralelo em diferentes navegadores e versões”, disseram os pesquisadores da Cado Security, Tara Gould e Nate Bill, em uma análise publicada hoje.
“No entanto, a configuração padrão do Selenium Grid carece de autenticação, tornando-o vulnerável à exploração por agentes mal-intencionados.”
O abuso das implantações de criptomineradores acessíveis ao público do Selenium Grid foi anteriormente destacado pela empresa de segurança em nuvem Wiz no final de julho de 2024 como parte de um grupo de trabalho chamado SeleniumGreed.
Cado, que viu duas campanhas distintas contra seu servidor honeypot, disse que os agentes de ameaças estão explorando a falta de proteção de autenticação para realizar atividades maliciosas.
O primeiro deles usa o dicionário “goog:chromeOptions” para injetar um script Python codificado em Base64, que retorna um script chamado “y”, que é um shell reverso GSocket de código aberto.
O shell reverso serve como uma forma de iniciar o próximo estágio, um script bash chamado “pl” que encontra IPRoyal Pawn e EarnFM no servidor remoto com os comandos curl e wget.
“IPRoyal Pawns é um serviço de proxy que permite aos usuários vender sua largura de banda de internet por dinheiro”, disse Cado.
“A conexão de Internet do usuário é compartilhada pela rede IPRoyal com um serviço que utiliza a largura de banda como proxy da residência, disponibilizando-a para diversos fins, inclusive maliciosos”.
EarnFM também é uma solução de proxyware anunciada como a “primeira maneira” de “ganhar renda online compartilhando sua conexão com a Internet”.
O segundo ataque, como a campanha de proxyjacking, segue o mesmo método de entrega de um script bash com um script Python que verifica se funciona em uma máquina de 64 bits e depois descarrega o binário ELF baseado em Golang.
Em seguida, o arquivo ELF tenta obter acesso root explorando a falha PwnKit (CVE-2021-4043) e descontinua o minerador de criptomoeda XMRig chamado perfcc.
“Como muitas organizações confiam no Selenium Grid para testes de navegadores web, esta campanha destaca mais uma vez como cenários mal configurados podem ser explorados por atores mal-intencionados”, disseram os pesquisadores. “Os usuários devem garantir que a autenticação esteja desabilitada, pois isso pode ser feito automaticamente.”
