Las instancias de Selenium Grid expuestas a Internet están siendo blanco de actores maliciosos que llevan a cabo campañas ilegales de minería de criptomonedas y proxyjacking.

“Selenium Grid es un servidor que facilita la ejecución simultánea de casos de prueba en diversos navegadores y versiones”, afirmaron Tara Gould y Nate Bill, investigadores de Cado Security, en un análisis publicado hoy.

“Sin embargo, la configuración predeterminada de Selenium Grid no incluye autenticación, lo que lo convierte en un objetivo vulnerable para la explotación por parte de actores de amenazas.”

El uso indebido de instancias de Selenium Grid de acceso público para desplegar mineros de criptomonedas fue señalado anteriormente por la empresa de seguridad en la nube Wiz a finales de julio de 2024, como parte de un grupo de actividades denominado SeleniumGreed.

Cado, que ha observado dos campañas distintas contra su servidor honeypot, señaló que los actores de amenazas están aprovechando la falta de protecciones de autenticación para llevar a cabo actividades maliciosas.

El primer ataque utiliza el diccionario “goog
” para inyectar un script de Python codificado en Base64, que a su vez recupera un script llamado “y”, que es el shell inverso de GSocket de código abierto.

Posteriormente, el shell inverso actúa como un medio para introducir la carga útil de la siguiente etapa, un script bash llamado “pl” que descarga IPRoyal Pawn y EarnFM desde un servidor remoto mediante comandos curl y wget.

“IPRoyal Pawns es un servicio de proxy residencial que permite a los usuarios vender su ancho de banda de Internet a cambio de dinero”, explicó Cado.

“La conexión a Internet del usuario se comparte con la red IPRoyal, y el servicio utiliza ese ancho de banda como proxy residencial, haciéndolo disponible para diversos usos, incluidos fines maliciosos.”

EarnFM también es una solución de proxyware que se presenta como una manera “innovadora” de “generar ingresos pasivos en línea simplemente compartiendo su conexión a Internet”.

El segundo ataque, similar a la campaña de proxyjacking, sigue un proceso similar para entregar un script bash a través de un script Python que verifica si se está ejecutando en una máquina de 64 bits y luego procede a ejecutar un binario ELF basado en Golang.

Luego, el archivo ELF intenta escalar privilegios a raíz aprovechando la vulnerabilidad PwnKit (CVE-2021-4043) y lanza un minero de criptomonedas XMRig llamado perfcc.

“Dado que muchas organizaciones dependen de Selenium Grid para realizar pruebas de navegadores web, esta campaña resalta cómo los actores de amenazas pueden abusar de instancias mal configuradas”, comentaron los investigadores. “Los usuarios deben asegurarse de que la autenticación esté configurada, ya que no está habilitada de forma predeterminada.”

Fuente: thehackernews.com