威胁行为者正在利用Selenium Grid的配置错误来部署修改版的XMRig工具，用于挖掘Monero（门罗币）加密货币。

Selenium Grid是一个流行的开源Web应用测试框架，它允许开发者在多台机器和浏览器上自动化测试。它在云环境中使用，并且在Docker Hub上的下载量超过1亿次。

Selenium测试概述

来源：Wiz

测试任务通过API交互从中央集线器分发到服务的各个节点上执行，这些节点具有不同的操作系统、浏览器和其他环境变化，以提供全面的测试结果。

云安全公司Wiz的研究人员发现，他们正在跟踪的恶意活动“SeleniumGreed”已经运行了一年多。这个活动利用了服务在默认配置中缺乏认证机制的弱点。

根据Wiz的研究，Selenium Grid默认情况下没有激活的身份验证机制。对于公开的服务，任何人都可以访问应用程序测试实例、下载文件和执行命令。

Selenium 在其文档中警告了互联网暴露实例的风险，建议那些需要远程访问的人通过设置防火墙来防止未经授权的访问。然而，这个警告不足以防止更大规模的错误配置。

Wiz提到，威胁行为者正在利用Selenium WebDriver API来更改目标实例中Chrome的默认二进制路径，使其指向Python解释器。然后，它们使用“add_argument”方法将base64编码的Python脚本作为参数传递。当WebDriver发起启动Chrome的请求时，它会使用提供的脚本执行Python解释器。

攻击中使用的漏洞利用脚本

来源：Wiz

Python脚本建立了一个反向shell，使攻击者几乎可以远程访问实例。接下来，攻击者依靠Selenium用户（seluser），可以在没有密码的情况下执行sudo命令，在被破坏的实例上放置自定义XMRig矿工，并将其设置为在后台运行。

为了逃避检测，攻击者经常使用受损的Selenium节点工作负载作为后续感染的中间命令和控制服务器（C2），以及作为采矿池代理。

Wiz公司使用FOFA搜索引擎对公开网络上暴露的网络资产进行了扫描，结果显示至少有30,000个Selenium实例目前可以通过公共网络访问到。

Wiz在报告中说：“任何缺乏适当身份验证和网络安全策略的Selenium Grid服务版本都容易受到远程命令执行的攻击。”

“根据我们的数据，本博客中描述的威胁针对的是Selenium v3.141.59，但它也可能演变为利用更高版本，其他威胁行为者可能已经这样做了，”研究人员指出。

警惕！美国政府悬赏1000万美元，调查朝鲜APT45黑客组织

2024.07.29

网络安全公司Wiz拒绝了谷歌230亿美元收购，关注IPO之路

2024.07.26

谷歌放弃淘汰第三方Cookie计划，将选择权交给用户

2024.07.25