黑客利用Hadoop Yarn資源管理系統未授權訪問漏洞進行攻擊
責編:gltian |2018-05-07 16:30:234月30日,阿里云發現,俄羅斯黑客利用Hadoop Yarn資源管理系統REST API未授權訪問漏洞進行攻擊。
Hadoop是一款由Apache基金會推出的分布式系統框架,它通過著名的 MapReduce 算法進行分布式處理,Yarn是Hadoop集群的資源管理系統。
此次事件主要因Hadoop YARN 資源管理系統配置不當,導致可以未經授權進行訪問,從而被攻擊者惡意利用。攻擊者無需認證即可通過REST API部署任務來執行任意指令,最終完全控制服務器。
針對此類大規模攻擊,阿里云平臺已可默認攔截;同時,基于云盾態勢感知產品,阿里云也將最新的風險評估和防護建議,通過郵件、電話方式通知給用戶,協助云上用戶進行應急修復。
受影響范圍
Apache Hadoop YARN資源管理系統
對外開啟以下作用的端口:
yarn.resourcemanager.webapp.address,默認端口8088yarn.resourcemanager.webapp.https.address,默認端口8090
風險評級
高危
漏洞利用條件和方式
遠程利用
解決建議
1.緩解建議:
如果本身Hadoop環境僅對內網提供服務,請不要將Hadoop服務端口發布到互聯網
2.徹底解決建議:
若使用自建的Hadoop,根據實際情況及時更新補丁,Hadoop在2.X以上版本提供了安全認證功能,加入了Kerberos認證機制,建議啟用Kerberos認證功能
1、通過對比分析,阿里云安全專家觀察到,與之前Redis、CouchDB事件相比,Hadoop作為一個分布式計算應用程序框架,讓其更容易被“攻陷”,因為:
- Hadoop種類和功能繁多,各種組件安全問題,可能會帶來更大的攻擊面;
- 針對某一個薄弱點的攻擊,可能通過該框架分布式的特性,迅速擴散到所有節點。
2、灰黑產的入侵變現的手段,正在從入侵利用云上普通主機資源挖礦獲利(Web服務器、數據庫服務器等),轉向攻擊專用算力應用,以竊取更大的算力進行挖礦獲利轉變(如Hadoop等分布式計算平臺)。從本次樣本的分析來看,利用專用算力應用來攻擊變現的方式,還處在早期的測試階段;隨著加密貨幣的進一步繁榮,該類型的攻擊風險將會愈發凸顯。
總的來說,灰黑產對經濟利益的渴求,推動著這個行業的變遷升級。隨著加密貨幣市場熱度的攀升,入侵挖礦的灰色產業,也會隨之擴大;挖礦這種最有效變現手段對算力不斷擴大的需求,必然引導灰黑產的攻擊目標逐步轉向更高算力的產品和服務。
因此,阿里云安全專家建議,不論是SaaS化服務的算力產品提供商,還是算力的最終使用者,都應該更加的關注安全問題,只有在發展自己的業務的同時切實加強安全水平,才能保障業務長期健康穩定的發展。
附:詳細YARN REST API如下所示【文章內容有刪減】
http://hadoop.apache.org/docs/r2.4.1/hadoop-yarn/hadoop-yarn-site/WebServicesIntro.html