Selenium Grid-instanties die kwetsbaar zijn voor internet, worden door kwaadwillenden aangevallen voor illegale cryptocurrency-mining en proxyjackingcampagnes.
“Selenium Grid is een server waarmee u testcases parallel kunt uitvoeren in verschillende browsers en versies”, aldus Tara Gould en Nate Bill, onderzoekers van Cado Security, in een vandaag gepubliceerde analyse.
“De standaardconfiguratie van Selenium Grid biedt echter geen authenticatie, waardoor het kwetsbaar is voor misbruik door kwaadwillenden.”
Het misbruik van openbaar toegankelijke Selenium Grid-instanties voor het implementeren van cryptominers werd eind juli 2024 al aan de kaak gesteld door cloudbeveiligingsbedrijf Wiz als onderdeel van een activiteitencluster met de naam SeleniumGreed.
Cado, dat twee verschillende campagnes tegen zijn honeypot-server observeerde, zei dat de kwaadwillenden misbruik maken van het gebrek aan authenticatiebescherming om kwaadaardige acties uit te voeren.
De eerste maakt gebruik van het woordenboek “goog:chromeOptions” om een Base64-gecodeerd Python-script te injecteren dat op zijn beurt een script met de naam “y” ophaalt, wat de open-source GSocket reverse shell is.
De omgekeerde shell dient vervolgens als medium voor het introduceren van de volgende fase van de payload, een bash-script met de naam “pl” dat IPRoyal Pawn en EarnFM ophaalt van een externe server via de opdrachten curl en wget.
“IPRoyal Pawns is een residentiële proxydienst waarmee gebruikers hun internetbandbreedte kunnen verkopen in ruil voor geld”, aldus Cado.
“De internetverbinding van de gebruiker wordt gedeeld met het IPRoyal-netwerk, waarbij de dienst de bandbreedte gebruikt als een residentiële proxy. Hierdoor is deze beschikbaar voor verschillende doeleinden, waaronder kwaadaardige doeleinden.”
EarnFM is ook een proxyware-oplossing die wordt aangeprezen als een ‘baanbrekende’ manier om ‘passief inkomen online te genereren door simpelweg je internetverbinding te delen’.
De tweede aanval volgt, net als de proxyjackingcampagne, dezelfde route door een bash-script af te leveren via een Python-script dat controleert of het op een 64-bits machine draait en vervolgens een Golang-gebaseerd ELF-binair bestand dropt.
Het ELF-bestand probeert vervolgens te escaleren naar root door gebruik te maken van de PwnKit-fout (CVE-2021-4043) en plaatst een XMRig-cryptocurrency-miner met de naam perfcc.
“Aangezien veel organisaties vertrouwen op Selenium Grid voor het testen van webbrowsers, benadrukt deze campagne nog eens hoe verkeerd geconfigureerde instanties misbruikt kunnen worden door dreigingsactoren”, aldus de onderzoekers. “Gebruikers moeten ervoor zorgen dat authenticatie geconfigureerd is, aangezien het standaard niet is ingeschakeld.”