İnternete yayılan Selenium Grid örnekleri, kötü niyetli kişiler tarafından yasadışı kripto para madenciliği ve proxy saldırıları için hedef alınıyor.
Cado Güvenlik araştırmacıları Tara Gould ve Nate Bill, bugün yayınlanan bir analizde, “Selenium Grid, farklı tarayıcılar ve sürümler arasında test vakalarının paralel olarak çalıştırılmasını kolaylaştıran bir sunucudur” dedi.
“Ancak Selenium Grid’in varsayılan yapılandırmasında kimlik doğrulaması bulunmuyor ve bu da onu tehdit aktörlerinin istismarına karşı savunmasız hale getiriyor.”
Kripto madencilerini dağıtmak için herkese açık Selenium Grid örneklerinin kötüye kullanımı, daha önce bulut güvenlik firması Wiz tarafından Temmuz 2024’ün sonlarında SeleniumGreed adlı bir etkinlik kümesinin parçası olarak vurgulanmıştı.
Bal tuzağı sunucusuna yönelik iki farklı saldırı gözlemleyen Cado, tehdit aktörlerinin kötü amaçlı eylemler gerçekleştirmek için kimlik doğrulama korumasının eksikliğinden yararlandığını söyledi.
Bunlardan ilki, “goog:chromeOptions” sözlüğünü kullanarak Base64 kodlu bir Python betiği enjekte ediyor ve bu da açık kaynaklı GSocket ters kabuğu olan “y” adlı bir betiği getiriyor.
Ters kabuk daha sonra bir sonraki aşama yükünün, curl ve wget komutları aracılığıyla uzak bir sunucudan IPRoyal Pawn ve EarnFM’i alan “pl” adlı bir bash betiğinin tanıtılması için bir ortam görevi görür.
Cado, “IPRoyal Pawns, kullanıcıların internet bant genişliklerini para karşılığında satmalarına olanak tanıyan bir konut proxy hizmetidir” dedi.
“Kullanıcının internet bağlantısı, IPRoyal ağıyla paylaşılıyor ve servis, bant genişliğini konut proxy’si olarak kullanarak, kötü amaçlı amaçlar da dahil olmak üzere çeşitli amaçlar için kullanılabilir hale getiriyor.”
EarnFM aynı zamanda “İnternet bağlantınızı paylaşarak çevrimiçi pasif gelir elde etmenin” “çığır açan” bir yolu olarak tanıtılan bir proxy yazılımı çözümüdür.
İkinci saldırı, proxyjacking kampanyasına benzer şekilde, 64 bitlik bir makinede çalışıp çalışmadığını kontrol eden bir Python betiği aracılığıyla bir bash betiği sunmak için aynı yolu izliyor ve ardından Golang tabanlı bir ELF ikili dosyası bırakıyor.
ELF dosyası daha sonra PwnKit açığından (CVE-2021-4043) yararlanarak kök dizine geçmeye çalışır ve perfcc adlı bir XMRig kripto para madencisi bırakır.
Araştırmacılar, “Birçok kuruluş web tarayıcısı testleri için Selenium Grid’e güvendiğinden, bu kampanya yanlış yapılandırılmış örneklerin tehdit aktörleri tarafından nasıl kötüye kullanılabileceğini daha da vurguluyor,” dedi. “Kullanıcılar kimlik doğrulamanın yapılandırıldığından emin olmalı, çünkü varsayılan olarak etkin değildir.”