Pelaku ancaman mengeksploitasi kesalahan konfigurasi di Selenium Grid, kerangka kerja pengujian aplikasi web yang populer, untuk menyebarkan alat XMRig yang dimodifikasi guna menambang mata uang kripto Monero.
Selenium Grid bersifat open-source dan memungkinkan pengembang untuk mengotomatiskan pengujian di berbagai mesin dan browser. Selenium Grid digunakan di lingkungan cloud dan memiliki lebih dari 100 juta pull di Docker Hub.
Pengujian didistribusikan dari hub pusat ke node layanan melalui interaksi API, tempat pengujian dijalankan. Node menampilkan sistem operasi, browser, dan perubahan lingkungan yang berbeda untuk memberikan hasil yang komprehensif.
Sumber: Wiz
Para peneliti di perusahaan rintisan keamanan cloud Wiz menemukan bahwa aktivitas jahat yang mereka lacak sebagai “SeleniumGreed” telah berjalan selama lebih dari setahun dan memanfaatkan kurangnya autentikasi layanan dalam konfigurasi default.
SeleniumSerangan keserakahan
Menurut penelitian Wiz, Selenium Grid tidak memiliki mekanisme autentikasi yang aktif secara default. Dalam kasus layanan yang diekspos ke publik, siapa pun dapat mengakses contoh pengujian aplikasi, mengunduh file, dan menjalankan perintah.
Selenium memperingatkan risiko kejadian yang terekspos internet dalam dokumentasinya, menyarankan mereka yang membutuhkan akses jarak jauh untuk mencegah akses tidak sah dengan menyiapkan firewall. Namun, peringatan ini tidak cukup untuk mencegah kesalahan konfigurasi dalam skala yang lebih besar.
Sumber: selenium.dev
Wiz mengatakan bahwa pelaku ancaman memanfaatkan Selenium WebDriver API untuk mengubah jalur biner default Chrome pada instans yang ditargetkan, sehingga mengarah ke interpreter Python.
Mereka kemudian menggunakan ‘tambahkan_argumen‘ untuk meneruskan skrip Python berkode base64 sebagai argumen. Saat WebDriver memulai permintaan untuk meluncurkan Chrome, ia akan mengeksekusi interpreter Python dengan skrip yang disediakan.
Sumber: Wiz
Skrip Python membuat shell terbalik, yang memberikan penyerang akses hampir jarak jauh ke instans tersebut.
Selanjutnya, penyerang mengandalkan pengguna Selenium (‘seluser’), yang dapat menjalankan perintah sudo tanpa kata sandi, untuk memasang penambang XMRig khusus pada instansi yang diretas dan mengaturnya untuk berjalan di latar belakang.
Untuk menghindari deteksi, penyerang sering menggunakan beban kerja node Selenium yang dikompromikan sebagai server perintah dan kontrol perantara (C2) untuk infeksi berikutnya dan juga sebagai proksi kumpulan penambangan.
Penyerang menargetkan Selenium versi lama (v3.141.59), tetapi Wiz mengonfirmasi bahwa penyalahgunaan mungkin terjadi pada versi yang lebih baru dari 4.
Artinya, strategi penyerang cenderung menghindari deteksi dengan menargetkan contoh-contoh yang kurang dirawat dan dipantau daripada mengeksploitasi kelemahan yang hanya ada pada versi lama.
“Versi apa pun dari layanan Selenium Grid yang tidak memiliki kebijakan otentikasi dan keamanan jaringan yang tepat rentan terhadap eksekusi perintah jarak jauh,” kata Wiz dalam laporan.
“Berdasarkan data kami, ancaman yang dijelaskan dalam blog ini menargetkan Selenium v3.141.59, tetapi mungkin juga berkembang untuk mengeksploitasi versi yang lebih baru, dan pelaku ancaman lainnya mungkin sudah melakukannya,” catat para peneliti.
Pemindaian jaringan Wiz pada mesin pencari FOFA untuk aset jaringan yang terekspos menunjukkan setidaknya 30.000 instans Selenium yang saat ini dapat dijangkau melalui web publik.
Meskipun efek aktivitas penambangan kripto adalah peningkatan penggunaan sumber daya, operator kampanye dapat menggunakan akses mereka untuk menyebarkan malware jika targetnya cukup berharga.
Untuk bantuan tentang cara mengaktifkan autentikasi dasar dan melindungi Selenium Grid dari akses eksternal yang tidak sah, ikuti petunjuk layanan pedoman resmi di sini.
