Alerte : Selenium Grid ciblé par des mineurs de crypto-monnaies

Une nouvelle menace pour les services Selenium Grid

Des chercheurs en cybersécurité ont récemment mis en lumière une campagne en cours exploitant les services Selenium Grid accessibles via internet pour du minage illicite de cryptomonnaie. Cette activité, suivie sous le nom « SeleniumGreed » par la société de sécurité cloud Wiz, cible principalement les versions antérieures de Selenium (version 3.141.59 et inférieures), et aurait débuté en avril 2023.

Le Selenium WebDriver API, utilisé couramment pour l’automatisation des tests de navigateur, offre une interaction complète avec la machine, incluant la lecture et le téléchargement de fichiers ainsi que l’exécution de commandes à distance. Cela signifie que les instances du service mal configurées et disposant d’un accès internet sans authentification sont vulnérables aux abus malveillants.

D’après un article sur le blog de Wiz, Selenium Grid fait partie intégrante du cadre de tests automatisés Selenium, permettant l’exécution parallèle de tests sur diverses charges de travail, navigateurs et versions de navigateurs. Cependant, si ce service n’est pas correctement protégé par des permissions de firewall adéquates, il peut être exploité par des tiers pour exécuter des binaires arbitraires et accéder à des applications web internes ainsi qu’à des fichiers sensibles.

Un exemple concret d’intrusion

L’attaque commence lorsque l’assaillant envoie une requête au hub Selenium Grid vulnérable afin d’exécuter un programme Python contenant une charge utile encodée en Base64. Cette charge utile déclenche une connexion inversée à un serveur contrôlé par l’attaquant (164.90.149[.]104) pour récupérer la charge finale, une version modifiée du mineur XMRig.

Des informations supplémentaires du site de Wiz révèlent que ce mineur est conçu pour générer dynamiquement l’IP du pool de minage au moment de l’exécution, au lieu de l’intégrer directement dans la configuration du mineur. En outre, la fonctionnalité TLS-fingerprint de XMRig est utilisée pour s’assurer que le mineur ne communique qu’avec les serveurs contrôlés par les attaquants. Cette IP est déclarée appartenir à un service légitime compromis par le pirate, qui héberge également une instance Selenium Grid exposée au public.

Wiz a identifié plus de 30 000 instances Selenium exposées à l’exécution de commandes à distance, ce qui souligne l’urgence pour les utilisateurs de corriger cette configuration incorrecte.

Pour se protéger, il est crucial de restreindre l’accès externe à Selenium Grid via des permissions de firewall strictes et de s’assurer que les instances ne sont pas accessibles via l’internet public sans protection par authentification. Une vérification régulière des configurations de sécurité et la mise à jour vers des versions plus récentes de Selenium avec des options de sécurité améliorées sont vivement recommandées.

Pour plus de détails sur cette menace et des conseils pratiques, vous pouvez consulter le blog officiel de Wiz.

Restez vigilant et adoptez ces mesures pour éviter que vos services Selenium Grid ne soient exploités à des fins malveillantes. Pour plus de conseils sur la sécurité en ligne, suivez-nous sur Twitter et LinkedIn.

Implications sécuritaires : Ce que vous devez savoir

Cette vulnérabilité dans les services Selenium Grid représente un risque majeur pour les entreprises et les individus utilisant cette technologie. Les attaques de cryptomining non seulement consomment des ressources système importantes, ralentissant les performances, mais peuvent aussi exposer des données sensibles en permettant aux attaquants de lire et télécharger des fichiers. De plus, elles peuvent servir de point d’entrée pour des attaques plus complexes et destructrices.

Protégez-vous : Étapes clés contre les nouvelles vulnérabilités

1. Restreignez l’accès externe : Utilisez des permissions de firewall strictes pour limiter les accès.

2. Activez l’authentification : Configurez une authentification forte pour tous les services Selenium Grid accessibles.

3. Mettez à jour régulièrement : Assurez-vous d’utiliser les versions les plus récentes de Selenium, incluant les correctifs de sécurité.

4. Surveillez les activités : Implémentez des outils de surveillance capables de détecter des activités inhabituelles qui pourraient indiquer une compromission.

Sources

• Wiz – Newsroom
• Wiz – Blog
• Wiz – SeleniumGreed : Exploitation de cryptominage

Pour davantage d’informations sur les risques de phishing, consultez notre dossier sur comment reconnaître et contrer le phishing en 2024.

Si vous souhaitez en savoir plus sur la protection contre les malwares, lisez notre guide complet sur la protection contre les malwares en 2024.

Prenez connaissance des fuites de données et violations de sécurité pour mieux comprendre comment réagir et prévenir de telles menaces.