黑客利用Hadoop Yarn资源管理系统未授权访问漏洞进行攻击

4月30日,阿里云发现,俄罗斯黑客利用Hadoop Yarn资源管理系统REST API未授权访问漏洞进行攻击。

Hadoop是一款由Apache基金会推出的分布式系统框架,它通过著名的 MapReduce 算法进行分布式处理,Yarn是Hadoop集群的资源管理系统。

此次事件主要因Hadoop YARN 资源管理系统配置不当,导致可以未经授权进行访问,从而被攻击者恶意利用。攻击者无需认证即可通过REST API部署任务来执行任意指令,最终完全控制服务器。

针对此类大规模攻击,阿里云平台已可默认拦截;同时,基于云盾态势感知产品,阿里云也将最新的风险评估和防护建议,通过邮件、电话方式通知给用户,协助云上用户进行应急修复。

受影响范围

Apache Hadoop YARN资源管理系统

对外开启以下作用的端口:

  1. yarn.resourcemanager.webapp.address,默认端口8088
  2. yarn.resourcemanager.webapp.https.address,默认端口8090

风险评级

高危

漏洞利用条件和方式

远程利用

解决建议

1.缓解建议:

如果本身Hadoop环境仅对内网提供服务,请不要将Hadoop服务端口发布到互联网

2.彻底解决建议:

若使用自建的Hadoop,根据实际情况及时更新补丁,Hadoop在2.X以上版本提供了安全认证功能,加入了Kerberos认证机制,建议启用Kerberos认证功能

1、通过对比分析,阿里云安全专家观察到,与之前Redis、CouchDB事件相比,Hadoop作为一个分布式计算应用程序框架,让其更容易被“攻陷”,因为:

  • Hadoop种类和功能繁多,各种组件安全问题,可能会带来更大的攻击面;
  • 针对某一个薄弱点的攻击,可能通过该框架分布式的特性,迅速扩散到所有节点。

2、灰黑产的入侵变现的手段,正在从入侵利用云上普通主机资源挖矿获利(Web服务器、数据库服务器等),转向攻击专用算力应用,以窃取更大的算力进行挖矿获利转变(如Hadoop等分布式计算平台)。从本次样本的分析来看,利用专用算力应用来攻击变现的方式,还处在早期的测试阶段;随着加密货币的进一步繁荣,该类型的攻击风险将会愈发凸显。

总的来说,灰黑产对经济利益的渴求,推动着这个行业的变迁升级。随着加密货币市场热度的攀升,入侵挖矿的灰色产业,也会随之扩大;挖矿这种最有效变现手段对算力不断扩大的需求,必然引导灰黑产的攻击目标逐步转向更高算力的产品和服务。

因此,阿里云安全专家建议,不论是SaaS化服务的算力产品提供商,还是算力的最终使用者,都应该更加的关注安全问题,只有在发展自己的业务的同时切实加强安全水平,才能保障业务长期健康稳定的发展。

附:详细YARN REST API如下所示【文章内容有删减】

http://hadoop.apache.org/docs/r2.4.1/hadoop-yarn/hadoop-yarn-site/WebServicesIntro.html

原文:https://help.aliyun.com/knowledge_detail/71609.html?spm=a2c4g.11186631.2.20.OXFc5h

上一篇:机器特工挑战赛热血来袭 这就是GeekPwn2018

下一篇:锐捷亮相全国基础教育信息化应用展