Tehdit aktörleri, kripto madencileri dağıtmak için giderek daha fazla açığa çıkan Selenium Grid hizmetlerini hedef alıyor; bu kampanyaya “SeleniumGreed” adı veriliyor. Bu tehdit, popüler Selenium WebDriver API’sini kullanıyor ve bulut ortamlarının güvenliği konusunda önemli endişelere yol açtı.
Selenium Grid, Selenium paketinin ayrılmaz bir bileşenidir ve öncelikle birden fazla makine ve ortamda test çalıştırmak için kullanılır. Testleri yürütme yeteneğine sahip bireysel makineler olan çeşitli düğümlere test dağıtımını yöneten merkezi bir merkezden oluşur.
Grid, farklı tarayıcılarda ve işletim sistemlerinde paralel test yürütmeye olanak tanır, böylece test süresi kısalır ve çeşitli kurulumlar arasında tutarlılık sağlanır.
SeleniumGreed Kampanyası
Açık kaynaklı bir test çerçevesi olan Selenium, geliştiriciler ve test uzmanları arasında oldukça popülerdir. Docker imajı, Docker Hub’dan 100 milyondan fazla kez çekilmiştir ve bu da yaygın kullanımını vurgulamaktadır. Avantajlarına rağmen, Selenium Grid başlangıçta internete maruz kalma düşünülerek tasarlanmamıştır ve yerleşik güvenlik özelliklerinden yoksundur, bu da düzgün yapılandırılmadığında kötüye kullanıma açık hale getirir.
SeleniumGreed kampanyası, kripto madenciliği betiklerini yürütmek için Selenium Grid hizmetlerindeki varsayılan yanlış yapılandırmaları kullanır. Varsayılan olarak, Selenium Grid örneklerinin kimlik doğrulaması etkin değildir ve bu da onları yetkisiz erişime karşı savunmasız bırakır. Bu kusur, saldırganların uzaktan komutları yürütmek ve dosyaları indirmek de dahil olmak üzere, açığa çıkan düğümlerin altta yatan sistemiyle etkileşim kurmak için Selenium WebDriver API’sini kullanmalarına olanak tanır.
Wiz araştırmacılarının son gözlemleri, tehdit aktörlerinin bu güvenlik açıklarını, değiştirilmiş bir XMRig madencisi gibi kripto madencileri dağıtarak istismar ettiğini göstermiştir. Saldırı akışı genellikle madenciyi yükleyen ve çalıştıran uzaktan komutları yürütmek için eski Selenium sürümlerini (v3.141.59) kullanmayı içerir. Özellikle, bu sorun eski sürümlerle sınırlı değildir; Selenium Grid’in en son sürümleri bile internete maruz kalırsa tehlikeye girebilir.
Saldırganlar genellikle savunmasız Selenium Grid hub’larına istekler göndererek başlar ve Chrome ikili yolunu bir Python yorumlayıcısına işaret edecek şekilde yapılandırır. Bu, etkilenen makinede keyfi Python betikleri çalıştırmalarına olanak tanır. Örneğin, saldırganlar bu betikleri, daha sonra kripto madenciliği yazılımını indirmek ve yürütmek için kullanılan ters bir kabuk oluşturmak için kullanabilir.
Bir örnekte, saldırgan, tespitten kaçınmak için UPX başlıklarıyla değiştirilmiş XMRig madencisinin özel bir sürümünü dağıtmak için ters bir kabuk kullandı. Bu madenci, havuz IP adresini çalışma zamanında dinamik olarak oluşturur ve yalnızca saldırganın kontrolündeki sunucularla iletişimi sağlamak için belirli TLS parmak izi özelliklerini kullanır. Bu karmaşık yaklaşım, saldırganın tespitten kaçınmasına ve madencilik işlemleri üzerinde kontrolü sürdürmesine yardımcı olur.
Saldırganlar Selenium Grid ve Güvenlik Açığı İstatistiklerini İstismar Ediyor
FOFA’dan alınan veriler, Selenium Grid’in 30.000’den fazla örneğinin dünya genelinde açığa çıktığını ve bunların çoğunun varsayılan 4444 portunda çalıştığını gösteriyor. Bu yaygın açığa çıkma, uzaktan komut yürütme saldırılarının riskini önemli ölçüde artırıyor ve Selenium Grid dağıtımlarında sağlam güvenlik önlemlerine duyulan kritik ihtiyacı vurguluyor.
Bu tür tehditlere karşı korunmak için kuruluşlar birkaç temel strateji uygulamalıdır. İlk olarak, ağ güvenliği kontrolleri esastır; hem gelen hem de giden trafiği yönetmek için güvenlik duvarları kullanmak ve güvenilir IP aralıklarına erişimi kısıtlamak Selenium Grid hizmetlerini korumaya yardımcı olabilir. Ek olarak, Selenium Grid örneklerinde temel kimlik doğrulamayı etkinleştirmek yetkisiz erişimi önleyecektir.
Düzenli ağ ve güvenlik açığı taraması, açığa çıkan hizmetleri ve olası güvenlik açıklarını belirlemek ve ele almak için de önemlidir. Ayrıca, çalışma zamanı algılama mekanizmalarının dağıtılması, çevrimiçi tehditlere gerçek zamanlı tanımlama ve yanıt vermeyi mümkün kılacaktır.
SeleniumGreed kampanyası, Selenium Grid hizmetlerinin yapılandırmasında önemli bir güvenlik açığı olduğunu vurguluyor. Saldırganlar bu güvenlik açıklarını kripto madenciliği için kullanmaya devam ettikçe, kuruluşlar sağlam güvenlik önlemleri uygulamalı ve ortaya çıkan tehditler hakkında bilgi sahibi olmalıdır. Selenium Grid dağıtımlarını güvence altına almak için proaktif adımlar atarak, kuruluşlar bulut ortamlarını bu büyüyen tehditten koruyabilir.