Selenium Grid’in varsayılan kimlik doğrulama eksikliğini hedef alan iki saldırı devam ediyor. Tehdit aktörleri bu güvenlik açığını istismar ederek exploit kitleri, kripto para madenciliği araçları ve proxy korsanları gibi kötü amaçlı yazılımlar dağıtıyor.
Selenium Grid’in geliştiriciler arasında yaygın bir şekilde kullanılması ve varsayılan güvenlik eksikliği, sistemleri tehlikeye atmak ve yetkisiz erişim elde etmek isteyen saldırganlar için onu çekici bir hedef haline getiriyor.
Kampanyalar, kötü amaçlı yazılımları dağıtmak ve çalıştırmak için Selenium Grid’in uzak makinelerde kod yürütme yeteneğinden yararlanıyor ve bu da test ve otomasyon için bu araca güvenen kuruluşlar için önemli bir tehdit oluşturuyor.
Yanlış yapılandırılmış Selenium Grid örneği, saldırganların kimlik doğrulama eksikliğinden faydalanmasına olanak sağladı.
Belirli bir saldırıda saldırganlar, WebDriver yapılandırmasındaki belirtilen Python3 ikili dosyası nedeniyle yürütülen “goog:chromeOptions” yapılandırmasına base64 kodlu bir Python betiği enjekte etti.
Kabuk komut geçmişi kaydının devre dışı bırakılmasının ardından, betik uzak bir sunucudan ters kabuk betiğini indirmeye başladı.
GSocket olarak bilinen indirilen komut dosyası, saldırıya uğramış sistem ile uzak sunucu arasında şifreli bir TCP bağlantısı kurarak saldırganların enfekte makinede komutlar yürütmesini sağlıyor.
Komuta ve kontrol sunucusundan alınan kötü amaçlı bir betik olan “pl”, mimariye bağlı olarak çeşitli sistem kontrolleri gerçekleştirir ve ek yükler alır, ardından belirli Docker kapsayıcılarını durdurur ve kurulum yolunu ayarlar.
Cado Security Labs’a göre, IPRoyal Pawn ve EarnFM veri yüklerini ele geçiriyor ve bunların büyük ihtimalle kullanıcının internet bant genişliğini proxy hizmeti (IPRoyal Pawns) olarak satmak ve diğer kötü amaçlı amaçlar için kullanıldığı belirtiliyor.
Ayrıca, “pl” kök ayrıcalıklarını ve sistem bilgilerini kontrol eden ve eksikse Docker’ı yükleyen base64 kodlu bir betik “tm” içerir. Daha sonra “traffmonetizer” ve “WatchTower” için Docker görüntülerini alır ve yapılandırır.
Tehdit aktörü, Chrome’a enjekte edilen ve daha sonra Bash betiğine dönüştürülen base64 kodlu bir Python betiğiyle başlayan, dizinler oluşturarak, ortam değişkenlerini değiştirerek ve mevcut işlemleri kontrol ederek sistemi hazırlayan çok aşamalı bir saldırı uyguladı.
Daha sonra UPX ile paketlenmiş bir ELF ikili dosyasını indirdi ve tespit edilmekten kaçınmak için başlığını kaldırdı.
Golang’da yazılmış paketten çıkarılan ikili dosya, kök ayrıcalıkları elde etmek için CVE-2021-4043’ü istismar etmeye çalıştı.
C2 iletişimi için Tor düğümlerine bağlantılar kurdu, kripto madenciliği ikili dosyalarını bıraktı, kalıcılık için cron işleri kurdu ve ayrıca kripto madenciliği süreciyle ilgili dosyaları içeren geçici dizinler oluşturdu.
SHC tarafından derlenen ELF ikili dosyası “Top”, davranışını belirlemek için ortam değişkenlerini kullanan bir Bash betiğidir.
“ABWTRX” ayarlanmışsa, çıkar. “AAZHDE” ayarlanmamışsa, PATH’i değiştirir, temizleme tuzakları kurar, “perfctl” işlemlerini sonlandırır ve geçici dosyaları kaldırır.
Daha sonra sistem süreçlerini görüntülemek için “top” komutunu yürütür. Bu betik, yanlış yapılandırılmış Selenium Grid örneklerini istismar etmek için yakın zamanda yapılan bir kampanyada kullanıldı.
Bu saldırı, Selenium Grid’de yetkisiz erişimi ve kötü amaçlı faaliyetleri önlemek için uygun kimlik doğrulamanın ve yapılandırmanın önemini vurgulamaktadır.