Selenium Grid: Unsichere Standardkonfiguration lässt Krypto-Miner passieren
Das Framework für automatisierte Softwaretests Selenium Grid ist in den Standardeinstellungen verwundbar. Das nutzen Angreifer derzeit aus.
(Bild: stockphoto-graf/Shutterstock.com)
Sicherheitsforscher von Wiz warnen vor Attacken auf das Framework Selenium Grid. Angreifer setzen an einer Schwachstelle an und installieren einen Krypto-Miner. Instanzen sind in der Standardkonfiguration für derartige Attacken anfällig.
In ihrem Bericht führen sie aus, dass Selenium Grid weltweit weit verbreitet ist und etwa das Docker-Image auf Github 100 Millionen Abrufe verzeichnet. Mit dem Framework testen Entwickler Software und Webanwendungen parallel auf mehreren Servern.
Zum Schutz Anmeldung aktivieren
Das Problem ist, dass man standardmäßig ohne Authentifizierung auf die WebDriver API zugreifen kann. Daran setzten nun Angreifer an und führen eigene Befehle aus. Die Forscher geben an, dass die Angreifer Pfade umbiegen, sodass der Standard-Binärpfad nicht mehr auf Chrome, sondern einen Python-Interpreter zeigt. Dieser führe dann ein Skript der Angreifer aus, sodass diese sich Zugriff verschaffen, um einen modifizierten XMRig Miner zu installieren. Theoretisch können sie dank des Fernzugriffs noch weitere Malware installieren.
Die Forscher geben an, dass sie Attacken auf die Ausgabe 3.141.59 beobachtet haben. Aktuell ist die Version 4.23.0. Sie vermuten aber, dass die Schwachstelle auch aktuelle Ausgaben bedroht und eventuell auch schon Attacken laufen.
Auf die standardmäßig fehlende Authentifizierung weist auch Selenium hin, doch offensichtlich haben das nicht viele Admins auf dem Schirm. Die Forscher haben eigenen Angaben zufolge rund 30.000 öffentlich erreichbare und potenziell verwundbare Instanzen dokumentiert. Admins sollten die Authentifizierung also umgehend aktivieren. Wie das geht, schreiben die Entwickler in einem Beitrag.
(des)
