Các máy chủ Selenium Grid có cấu hình không an toàn đang bị lạm dụng để khai thác tiền điện tử

Các tác nhân đe dọa đang khai thác lỗi cấu hình trong Selenium Grid, một framework thử nghiệm ứng dụng web phổ biến, để triển khai công cụ XMRig đã sửa đổi nhằm khai thác tiền điện tử Monero.

Selenium Grid là mã nguồn mở và cho phép các nhà phát triển tự động hóa thử nghiệm trên nhiều máy và trình duyệt. Nó được sử dụng trong môi trường cloud và có hơn 100 triệu lượt tải (pull) trên Docker Hub.

Các nhà nghiên cứu tại công ty bảo mật cloud Wiz phát hiện ra rằng hoạt động độc hại mà họ theo dõi với tên “SeleniumGreed” đã diễn ra trong hơn một năm và lợi dụng việc dịch vụ không có tính năng xác thực trong cấu hình mặc định.

Các cuộc tấn công SeleniumGreed

Theo nghiên cứu của Wiz, Selenium Grid không có cơ chế xác thực hoạt động theo mặc định. Trong trường hợp dịch vụ công khai, bất kỳ ai cũng có thể truy cập vào các phiên bản (instance) thử nghiệm ứng dụng, tải xuống tệp và thực thi lệnh.

Selenium đã cảnh báo về rủi ro của các trường hợp kết nối với internet trong tài liệu của mình, khuyến nghị những người cần truy cập từ xa ngăn chặn truy cập trái phép bằng cách thiết lập tường lửa (firewall). Tuy nhiên, cảnh báo này không đủ để ngăn chặn các cấu hình sai ở quy mô lớn hơn.

Wiz cho biết kẻ tấn công đang lợi dụng API Selenium WebDriver để thay đổi đường dẫn nhị phân mặc định của Chrome trong phiên bản mục tiêu, khiến nó trỏ đến trình thông dịch Python.

Sau đó, nó sử dụng phương thức 'add_argument' để truyền một tập lệnh Python được mã hóa base64 làm đối số. Khi WebDriver khởi tạo yêu cầu khởi chạy Chrome, nó sẽ thực thi trình thông dịch Python bằng tập lệnh được cung cấp thay thế.

Tập lệnh khai thác được sử dụng trong các cuộc tấn công (Nguồn: Wiz)

Tập lệnh Python thiết lập một reverse shell, cho phép kẻ tấn công truy cập từ xa vào instance đó.

Tiếp theo, kẻ tấn công dựa vào người dùng Selenium ('seluser'), người có thể thực thi lệnh sudo mà không cần mật khẩu, để cài đặt công cụ khai thác XMRig tùy chỉnh vào instance bị xâm phạm và thiết lập để chạy ở chế độ nền.

Để tránh bị phát hiện, kẻ tấn công thường sử dụng các ‘node workload’ Selenium bị xâm phạm làm máy chủ điều khiển tấn công (C2) trung gian cho các lần lây nhiễm sau đó và cũng làm proxy cho nhóm khai thác.

Những kẻ tấn công nhắm vào các phiên bản Selenium cũ hơn (v3.141.59), nhưng Wiz xác nhận rằng việc lạm dụng có thể xảy ra trên các phiên bản mới hơn 4.

Wiz cho biết trong báo cáo rằng: "Bất kỳ phiên bản nào của dịch vụ Selenium Grid không có chính sách xác thực và bảo mật mạng phù hợp đều dễ bị tấn công thực thi lệnh từ xa".

“Dựa trên dữ liệu của chúng tôi, mối đe dọa này đang nhắm vào Selenium v3.141.59, nhưng nó có thể được mở rộng để khai thác cả các phiên bản sau”, các nhà nghiên cứu lưu ý.

Qua kiểm tra rà quét trên công cụ tìm kiếm FOFA, Wiz đã phát hiện có ít nhất 30.000 phiên bản Selenium có thể truy cập được qua mạng công cộng.

Mặc dù tác động của hoạt động khai thác tiền điện tử là tăng mức sử dụng tài nguyên, tuy nhiên những kẻ đứng sau chiến dịch có thể sử dụng quyền truy cập của họ để triển khai phần mềm độc hại khác.

Để bật xác thực cơ bản và bảo vệ Selenium Grids khỏi truy cập trái phép từ bên ngoài, bạn có thể làm theo hướng dẫn chính thức của dịch vụ tại đây.

Nguồn: bleepingcomputer.com.