الهجمات الإلكترونية المستمرة تستهدف خدمات شبكة السيلينيوم المكشوفة لتعدين العملات المشفرة
يدق باحثو الأمن السيبراني ناقوس الخطر بشأن الحملة المستمرة التي تستفيد من التعرض للإنترنت خدمات شبكة السيلينيوم للتعدين غير المشروع للعملات المشفرة.
يقوم Cloud Security Wiz بتتبع النشاط تحت الاسم السيلينيومالجشع. ويعتقد أن الحملة، التي تستهدف الإصدارات الأقدم من السيلينيوم (3.141.59 وما قبلها)، جارية حاليًا منذ أبريل 2023 على الأقل.
“دون علم معظم المستخدمين، تتيح واجهة برمجة تطبيقات Selenium WebDriver التفاعل الكامل مع الجهاز نفسه، بما في ذلك قراءة الملفات وتنزيلها وتشغيل الأوامر عن بعد،” هذا ما قاله باحثو Wiz أفيجايل ميتشتينجر، وجيلي تيكوشينسكي، ودور لاسكا. قال.
“افتراضيًا، لا يتم تمكين المصادقة لهذه الخدمة. وهذا يعني أن العديد من المثيلات التي يمكن الوصول إليها بشكل عام تم تكوينها بشكل خاطئ ويمكن لأي شخص الوصول إليها وإساءة استخدامها لأغراض ضارة.”
تتيح شبكة السيلينيوم، وهي جزء من إطار عمل اختبار السيلينيوم الآلي، التنفيذ المتوازي للاختبارات عبر أعباء عمل متعددة ومتصفحات مختلفة وإصدارات متصفح مختلفة.
“يجب حماية شبكة السيلينيوم من الوصول الخارجي باستخدام أذونات جدار الحماية المناسبة،” المشرفون على المشروع تحذير في وثائق الدعم، تشير إلى أن الفشل في القيام بذلك قد يسمح لأطراف ثالثة بتشغيل ثنائيات عشوائية والوصول إلى تطبيقات وملفات الويب الداخلية.
ولا يُعرف حاليًا من يقف وراء حملة الهجوم. ومع ذلك، فهو يتضمن جهة التهديد التي تستهدف مثيلات Selenium Grid المكشوفة بشكل عام والاستفادة من WebDriver API لتشغيل كود Python المسؤول عن تنزيل وتشغيل عامل تعدين XMRig.
يبدأ الأمر بإرسال الخصم طلبًا إلى مركز Selenium Grid الضعيف بهدف تنفيذ برنامج Python الذي يحتوي على حمولة مشفرة Base64 والتي تنتج غلافًا عكسيًا لخادم يتحكم فيه المهاجم (“164.90.149”)[.]104″) من أجل جلب الحمولة النهائية، وهي نسخة معدلة من عامل تعدين XMRig مفتوح المصدر.
وأوضح الباحثون: “بدلاً من تشفير عنوان IP المجمع في تكوين عامل التعدين، يقومون بإنشائه ديناميكيًا في وقت التشغيل”. “لقد قاموا أيضًا بتعيين ميزة بصمة TLS الخاصة بـ XMRig ضمن الكود المُضاف (وضمن التكوين)، مما يضمن أن المُعدن لن يتواصل إلا مع الخوادم التي يتحكم فيها ممثل التهديد.”
يُقال إن عنوان IP المعني ينتمي إلى خدمة شرعية تم اختراقها من قبل جهة التهديد، حيث تبين أيضًا أنها تستضيف مثيل Selenium Grid المكشوف علنًا.
قال Wiz أنه من الممكن تنفيذ الأوامر عن بعد على الإصدارات الأحدث من السيلينيوم، وأنه حدد أكثر من 30000 حالة معرضة لتنفيذ الأوامر عن بعد، مما يجعل من الضروري أن يتخذ المستخدمون خطوات لإغلاق التكوين الخاطئ.
وقال الباحثون: “لم يتم تصميم شبكة السيلينيوم للتعرض للإنترنت، ولم يتم تمكين المصادقة في تكوينها الافتراضي، لذلك يمكن لأي مستخدم لديه وصول إلى الشبكة إلى المركز التفاعل مع العقد عبر واجهة برمجة التطبيقات”.
“يشكل هذا خطرًا أمنيًا كبيرًا إذا تم نشر الخدمة على جهاز به عنوان IP عام لا يحتوي على سياسة جدار حماية كافية.”
إرسال التعليق