-
09/04/2020
-
93
-
593 bài viết
Cấu hình sai trong Selenium Grid bị lợi dụng để khai thác tiền điện tử Monero
Tin tặc đang lợi dụng một cấu hình sai trong Selenium Grid, một framework kiểm thử ứng dụng web phổ biến, để triển khai một phiên bản chỉnh sửa của công cụ XMRig nhằm đào tiền điện tử Monero. Cấu hình sai này cho phép tin tặc có thể truy cập và thực thi lệnh trên các hệ thống bị ảnh hưởng mà không cần xác thực.
Selenium Grid là một công cụ mã nguồn mở cho phép các nhà phát triển tự động hóa kiểm thử trên nhiều máy và trình duyệt. Công cụ này được sử dụng rộng rãi trong các môi trường đám mây và đã có hơn 100 triệu lượt tải trên Docker Hub.
Các nhà nghiên cứu bảo mật đã phát hiện rằng Selenium Grid không có cơ chế xác thực được kích hoạt theo mặc định. Điều này tạo cơ hội cho các tin tặc truy cập các phiên kiểm thử ứng dụng, tải xuống tệp và thực thi lệnh từ xa.
Phương Thức Tấn Công:
Ít nhất 30,000 phiên bản Selenium hiện đang có thể truy cập công khai trên web thông qua công cụ tìm kiếm FOFA. Các kẻ tấn công nhắm vào các phiên bản Selenium cũ (v3.141.59), nhưng việc lạm dụng cũng có thể xảy ra trên các phiên bản mới hơn so với phiên bản 4.
Khuyến Cáo cho người dùng:
Selenium Grid là một công cụ mã nguồn mở cho phép các nhà phát triển tự động hóa kiểm thử trên nhiều máy và trình duyệt. Công cụ này được sử dụng rộng rãi trong các môi trường đám mây và đã có hơn 100 triệu lượt tải trên Docker Hub.
Các nhà nghiên cứu bảo mật đã phát hiện rằng Selenium Grid không có cơ chế xác thực được kích hoạt theo mặc định. Điều này tạo cơ hội cho các tin tặc truy cập các phiên kiểm thử ứng dụng, tải xuống tệp và thực thi lệnh từ xa.
Phương Thức Tấn Công:
- Các tin tặc sử dụng API Selenium WebDriver để thay đổi đường dẫn nhị phân mặc định của Chrome trong các phiên bản mục tiêu, chuyển hướng nó đến trình biên dịch Python.
- Sau đó, họ sử dụng ‘add_argument’ method để truyền một script Python được mã hóa base64 làm đối số. Khi WebDriver khởi tạo yêu cầu để chạy Chrome, trình biên dịch Python sẽ thực thi script này.
- Script Python tạo ra một reverse shell, cho phép tin tặc truy cập từ xa vào hệ thống bị xâm nhập.
- Tin tặc sử dụng người dùng Selenium (‘seluser’) - có khả năng thực thi lệnh sudo mà không cần tới mật khẩu, để thả một phiên bản chỉnh sửa của công cụ XMRig nhằm đào tiền điện tử Monero, và cài đặt cho phép nó thực thi ngầm.
Ít nhất 30,000 phiên bản Selenium hiện đang có thể truy cập công khai trên web thông qua công cụ tìm kiếm FOFA. Các kẻ tấn công nhắm vào các phiên bản Selenium cũ (v3.141.59), nhưng việc lạm dụng cũng có thể xảy ra trên các phiên bản mới hơn so với phiên bản 4.
Khuyến Cáo cho người dùng:
- Cập Nhật Bảo Mật: Cấu hình lại Selenium Grid để kích hoạt cơ chế xác thực và bảo mật mạng.
- Giám Sát và Bảo Trì: Đảm bảo rằng các phiên bản Selenium được duy trì và giám sát thường xuyên để phát hiện và ngăn chặn các hành vi đáng ngờ.
- Thiết Lập Tường Lửa: Ngăn chặn truy cập trái phép từ bên ngoài bằng cách thiết lập tường lửa theo khuyến nghị của Selenium.