Cấu hình sai trong Selenium Grid bị lợi dụng để khai thác tiền điện tử Monero

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
93
606 bài viết
Cấu hình sai trong Selenium Grid bị lợi dụng để khai thác tiền điện tử Monero
Tin tặc đang lợi dụng một cấu hình sai trong Selenium Grid, một framework kiểm thử ứng dụng web phổ biến, để triển khai một phiên bản chỉnh sửa của công cụ XMRig nhằm đào tiền điện tử Monero. Cấu hình sai này cho phép tin tặc có thể truy cập và thực thi lệnh trên các hệ thống bị ảnh hưởng mà không cần xác thực.

Oracle WebLogic (4).png

Selenium Grid là một công cụ mã nguồn mở cho phép các nhà phát triển tự động hóa kiểm thử trên nhiều máy và trình duyệt. Công cụ này được sử dụng rộng rãi trong các môi trường đám mây và đã có hơn 100 triệu lượt tải trên Docker Hub.

1722224963846.png

Các nhà nghiên cứu bảo mật đã phát hiện rằng Selenium Grid không có cơ chế xác thực được kích hoạt theo mặc định. Điều này tạo cơ hội cho các tin tặc truy cập các phiên kiểm thử ứng dụng, tải xuống tệp và thực thi lệnh từ xa.

1722225135019.png

Phương Thức Tấn Công:
  • Các tin tặc sử dụng API Selenium WebDriver để thay đổi đường dẫn nhị phân mặc định của Chrome trong các phiên bản mục tiêu, chuyển hướng nó đến trình biên dịch Python.
  • Sau đó, họ sử dụng ‘add_argument’ method để truyền một script Python được mã hóa base64 làm đối số. Khi WebDriver khởi tạo yêu cầu để chạy Chrome, trình biên dịch Python sẽ thực thi script này.
  • Script Python tạo ra một reverse shell, cho phép tin tặc truy cập từ xa vào hệ thống bị xâm nhập.
  • Tin tặc sử dụng người dùng Selenium (‘seluser’) - có khả năng thực thi lệnh sudo mà không cần tới mật khẩu, để thả một phiên bản chỉnh sửa của công cụ XMRig nhằm đào tiền điện tử Monero, và cài đặt cho phép nó thực thi ngầm.

1722225157527.png

Ít nhất 30,000 phiên bản Selenium hiện đang có thể truy cập công khai trên web thông qua công cụ tìm kiếm FOFA. Các kẻ tấn công nhắm vào các phiên bản Selenium cũ (v3.141.59), nhưng việc lạm dụng cũng có thể xảy ra trên các phiên bản mới hơn so với phiên bản 4.

Khuyến Cáo cho người dùng:
  • Cập Nhật Bảo Mật: Cấu hình lại Selenium Grid để kích hoạt cơ chế xác thực và bảo mật mạng.
  • Giám Sát và Bảo Trì: Đảm bảo rằng các phiên bản Selenium được duy trì và giám sát thường xuyên để phát hiện và ngăn chặn các hành vi đáng ngờ.
  • Thiết Lập Tường Lửa: Ngăn chặn truy cập trái phép từ bên ngoài bằng cách thiết lập tường lửa theo khuyến nghị của Selenium.
Các nhà quản trị hệ thống cần nâng cao cảnh giác và thực hiện ngay các biện pháp bảo mật cần thiết để bảo vệ hệ thống của mình khỏi các cuộc tấn công thông qua Selenium Grid. Để biết thêm thông tin về cách bảo vệ Selenium Grid khỏi truy cập trái phép, hãy theo dõi các hướng dẫn chính thức từ nhà cung cấp dịch vụ.

 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
monero selenium grid xmrig
Bên trên