SeleniumGreedは、脅威キャンペーンにつけられた名称です。
どんなものなのでしょうか。
- Selenium Grid
Seleniumというソフトウェアのテストに利用できるフレームワークがあります。
これを拡張して、複数マシンでテストを並行して実行し、様々な種類のブラウザや異なるバージョンでの試験の実施を一元管理するツールにSelenium Gridというものがあります。 - SeleniumGreed
このSelenium Gridの機能を悪用する活動が観測されています。
Seleniumの設定を正しく実施して使用しない場合、利用者の意図しない動作をさせてしまうことができます。
ファイルの読み取りやダウンロード、リモートコマンドの実行など、マシン自体との完全な対話が可能になります。 - SeleniumGreedの活動内容
脅威アクターは、Selenium Gridを悪用しました。
そして、実施した内容は、公開されているSelenium Gridのインスタンスを標的とし、Selenium WebDriver APIの機能を利用してリバースシェルでPythonを実行し、XMRigマイナーをダウンロードするスクリプトを展開する、というものでした。
この活動は、Selenium Gridに含まれるSelenium WebDriver APIのサービス設定が、標準では認証が有効になっていないことを悪用して実現されています。 - 対象バージョン
この脅威が成り立ってしまう条件は緩いものです。
実際に脅威活動が行われていることが確認されているのは、v3.141.59という古いバージョンでしたが、この攻撃は配布状態の設定を正しく設定して使用していないことに依存していますので、この意味で、v4以降の最新のSelenium Grid環境も活動の対象となってしまいます。
安全な状態に構成されていないSelenium Gridは、すべて対象であるといえそうです。
安全な状態はどのような状態でしょうか。
認証設定を有効にするということです。
方法については公式のガイドがありますので、認証設定を有効にしようとさえできれば難しくありません。
公開状態でないから大丈夫か、という考え方も、安全ではないかもしれません。
他の問題と合わせて悪用されるような事態を想定すると、公開されていないテスト環境も悪用される可能性がありそうです。
Seleniumは非常に広く利用されているテストフレームワークです。
多くのクラウド環境で使用されていて、公式のselenium/hub DockerイメージはDocker Hubで1億回以上プルされています。
パッチケイデンスの重要性もさることながら、正しい設定の状態で利用するという認識も重要です。
動かしてみたら動いた、というような状態のものも、実際には結構な数があるのではないでしょうか。
今一度自分の周辺の環境を確認し、あるべき設定状態で利用できているかを確認してみる必要がありそうです。
SeleniumGreed: Threat actors exploit exposed Selenium Grid services for Cryptomining
https://www.wiz.io/blog/seleniumgreed-cryptomining-exploit-attack-flow-remediation-steps
| この記事をシェア |
|
|---|
