黑客利用Hadoop Yarn資源管理系統(tǒng)未授權(quán)訪問(wèn)漏洞進(jìn)行攻擊
責(zé)編:gltian |2018-05-07 16:30:234月30日,阿里云發(fā)現(xiàn),俄羅斯黑客利用Hadoop Yarn資源管理系統(tǒng)REST API未授權(quán)訪問(wèn)漏洞進(jìn)行攻擊。
Hadoop是一款由Apache基金會(huì)推出的分布式系統(tǒng)框架,它通過(guò)著名的 MapReduce 算法進(jìn)行分布式處理,Yarn是Hadoop集群的資源管理系統(tǒng)。
此次事件主要因Hadoop YARN 資源管理系統(tǒng)配置不當(dāng),導(dǎo)致可以未經(jīng)授權(quán)進(jìn)行訪問(wèn),從而被攻擊者惡意利用。攻擊者無(wú)需認(rèn)證即可通過(guò)REST API部署任務(wù)來(lái)執(zhí)行任意指令,最終完全控制服務(wù)器。
針對(duì)此類(lèi)大規(guī)模攻擊,阿里云平臺(tái)已可默認(rèn)攔截;同時(shí),基于云盾態(tài)勢(shì)感知產(chǎn)品,阿里云也將最新的風(fēng)險(xiǎn)評(píng)估和防護(hù)建議,通過(guò)郵件、電話(huà)方式通知給用戶(hù),協(xié)助云上用戶(hù)進(jìn)行應(yīng)急修復(fù)。
受影響范圍
Apache Hadoop YARN資源管理系統(tǒng)
對(duì)外開(kāi)啟以下作用的端口:
yarn.resourcemanager.webapp.address,默認(rèn)端口8088yarn.resourcemanager.webapp.https.address,默認(rèn)端口8090
風(fēng)險(xiǎn)評(píng)級(jí)
高危
漏洞利用條件和方式
遠(yuǎn)程利用
解決建議
1.緩解建議:
如果本身Hadoop環(huán)境僅對(duì)內(nèi)網(wǎng)提供服務(wù),請(qǐng)不要將Hadoop服務(wù)端口發(fā)布到互聯(lián)網(wǎng)
2.徹底解決建議:
若使用自建的Hadoop,根據(jù)實(shí)際情況及時(shí)更新補(bǔ)丁,Hadoop在2.X以上版本提供了安全認(rèn)證功能,加入了Kerberos認(rèn)證機(jī)制,建議啟用Kerberos認(rèn)證功能
1、通過(guò)對(duì)比分析,阿里云安全專(zhuān)家觀察到,與之前Redis、CouchDB事件相比,Hadoop作為一個(gè)分布式計(jì)算應(yīng)用程序框架,讓其更容易被“攻陷”,因?yàn)椋?/p>
- Hadoop種類(lèi)和功能繁多,各種組件安全問(wèn)題,可能會(huì)帶來(lái)更大的攻擊面;
- 針對(duì)某一個(gè)薄弱點(diǎn)的攻擊,可能通過(guò)該框架分布式的特性,迅速擴(kuò)散到所有節(jié)點(diǎn)。
2、灰黑產(chǎn)的入侵變現(xiàn)的手段,正在從入侵利用云上普通主機(jī)資源挖礦獲利(Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等),轉(zhuǎn)向攻擊專(zhuān)用算力應(yīng)用,以竊取更大的算力進(jìn)行挖礦獲利轉(zhuǎn)變(如Hadoop等分布式計(jì)算平臺(tái))。從本次樣本的分析來(lái)看,利用專(zhuān)用算力應(yīng)用來(lái)攻擊變現(xiàn)的方式,還處在早期的測(cè)試階段;隨著加密貨幣的進(jìn)一步繁榮,該類(lèi)型的攻擊風(fēng)險(xiǎn)將會(huì)愈發(fā)凸顯。
總的來(lái)說(shuō),灰黑產(chǎn)對(duì)經(jīng)濟(jì)利益的渴求,推動(dòng)著這個(gè)行業(yè)的變遷升級(jí)。隨著加密貨幣市場(chǎng)熱度的攀升,入侵挖礦的灰色產(chǎn)業(yè),也會(huì)隨之?dāng)U大;挖礦這種最有效變現(xiàn)手段對(duì)算力不斷擴(kuò)大的需求,必然引導(dǎo)灰黑產(chǎn)的攻擊目標(biāo)逐步轉(zhuǎn)向更高算力的產(chǎn)品和服務(wù)。
因此,阿里云安全專(zhuān)家建議,不論是SaaS化服務(wù)的算力產(chǎn)品提供商,還是算力的最終使用者,都應(yīng)該更加的關(guān)注安全問(wèn)題,只有在發(fā)展自己的業(yè)務(wù)的同時(shí)切實(shí)加強(qiáng)安全水平,才能保障業(yè)務(wù)長(zhǎng)期健康穩(wěn)定的發(fā)展。
附:詳細(xì)YARN REST API如下所示【文章內(nèi)容有刪減】
http://hadoop.apache.org/docs/r2.4.1/hadoop-yarn/hadoop-yarn-site/WebServicesIntro.html
原文:https://help.aliyun.com/knowledge_detail/71609.html?spm=a2c4g.11186631.2.20.OXFc5h
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿(mǎn)落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧