Doorlopende cyberaanval richt zich op blootgestelde Selenium Grid Services voor cryptomining

Cybersecurity-onderzoekers luiden de noodklok over een lopende campagne die gebruikmaakt van op internet toegankelijke Selenium Grid-diensten voor illegale cryptocurrency-mining.

Cloudbeveiliging Wiz houdt de activiteit bij onder de naam SeleniumHebzuchtDe campagne, die gericht is op oudere versies van Selenium (3.141.59 en ouder), loopt vermoedelijk al sinds april 2023.

“De meeste gebruikers weten niet dat Selenium WebDriver API volledige interactie met de machine zelf mogelijk maakt, inclusief het lezen en downloaden van bestanden en het uitvoeren van opdrachten op afstand”, aldus Wiz-onderzoekers Avigayil Mechtinger, Gili Tikochinski en Dor Laska.

“Standaard is authenticatie niet ingeschakeld voor deze service. Dit betekent dat veel openbaar toegankelijke instanties verkeerd zijn geconfigureerd en door iedereen kunnen worden benaderd en misbruikt voor kwaadaardige doeleinden.”

Selenium Grid, onderdeel van het geautomatiseerde testframework Selenium, maakt parallelle uitvoering van tests mogelijk op meerdere workloads, verschillende browsers en verschillende browserversies.

Selenium Grid-diensten

“Selenium Grid moet worden beschermd tegen externe toegang met behulp van de juiste firewallmachtigingen”, waarschuwen de projectbeheerders in een ondersteunende documentatie. Als dit niet gebeurt, kunnen derden willekeurige binaire bestanden uitvoeren en toegang krijgen tot interne webtoepassingen en bestanden.

Wie er precies achter de aanvalscampagne zit, is momenteel niet bekend. Het gaat er echter om dat de dreigingsactor zich richt op openbaar blootgestelde instanties van Selenium Grid en gebruikmaakt van de WebDriver API om Python-code uit te voeren die verantwoordelijk is voor het downloaden en uitvoeren van een XMRig-miner.

Het begint met een verzoek van de tegenstander naar de kwetsbare Selenium Grid-hub om een ​​Python-programma uit te voeren dat een Base64-gecodeerde payload bevat. Deze payload stuurt vervolgens een omgekeerde shell naar een door de aanvaller gecontroleerde server (“164.90.149(.)104”) om de uiteindelijke payload op te halen, een aangepaste versie van de open-source XMRig-miner.

“In plaats van het hardcoderen van het pool-IP in de minerconfiguratie, genereren ze het dynamisch tijdens runtime,” legden de onderzoekers uit. “Ze stellen ook de TLS-fingerprintfunctie van XMRig in binnen de toegevoegde code (en binnen de configuratie), waardoor de miner alleen communiceert met servers die worden aangestuurd door de bedreigingsactor.”

Het betreffende IP-adres zou behoren tot een legitieme service die is gecompromitteerd door de kwaadwillende partij. Er is namelijk ook een openbaar toegankelijke Selenium Grid-instantie op aangetroffen.

Volgens Wiz is het mogelijk om op nieuwere versies van Selenium opdrachten op afstand uit te voeren. Er zijn meer dan 30.000 instanties geïdentificeerd die kwetsbaar zijn voor de uitvoering van opdrachten op afstand. Gebruikers moeten daarom dringend stappen ondernemen om de verkeerde configuratie te herstellen.

“Selenium Grid is niet ontworpen om blootgesteld te worden aan het internet en de standaardconfiguratie heeft geen ingeschakelde authenticatie, waardoor iedere gebruiker met netwerktoegang tot de hub via API met de nodes kan communiceren”, aldus de onderzoekers.

“Dit vormt een aanzienlijk beveiligingsrisico als de service wordt geïmplementeerd op een machine met een openbaar IP-adres en een ontoereikend firewallbeleid.”

Thijs Van der Does