微慑信息网

Hadoop Yarn REST API未授权命令执行测试

一、背景

5月5日腾讯云安全团队曾针对攻击者利用Hadoop Yarn资源管理系统REST API未授权漏洞对服务器进行攻击,攻击者可以在未授权的情况下远程执行代码的安全问题进行预警,在预警的前后我们曾多次捕获相关的攻击案例,其中就包含利用该问题进行挖矿,我们针对其中一个案例进行分析并提供响应的安全建议和解决方案。

二、漏洞说明

Hadoop是一个由Apache基金会所开发的分布式系统基础架构,YARN是hadoop系统上的资源统一管理平台,其主要作用是实现集群资源的统一管理和调度,可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上,通过YARN来管理资源。简单的说,用户可以向YARN提交特定应用程序进行执行,其中就允许执行相关包含系统命令。

YARN提供有默认开放在8088和8090的REST API(默认前者)允许用户直接通过API进行相关的应用创建、任务提交执行等操作,如果配置不当,REST API将会开放在公网导致未授权访问的问题,那么任何黑客则就均可利用其进行远程命令执行,从而进行挖矿等行为。

攻击步骤:

1.申请新的application

直接通过curl进行POST请求

curl -v -X POST ‘http://ip:8088/ws/v1/cluster/apps/new-application’
返回内容类似于:

{“application-id”:”application_1527144634877_20465″,”maximum-resource-capability”:{“memory”:16384,”vCores”:8}}
2.构造并提交任务

构造json文件1.json,内容如下,其中application-id对应上面得到的id,命令内容为尝试在/var/tmp目录下创建11112222_test_111122222文件,内容也为111:

<此处json一定要格式化,也可以通过burp提交,前两次使用curl提交都报错了>

 

然后直接

curl -s -i -X POST -H ‘Accept: application/json’ -H ‘Content-Type: application/json’ http://ip:8088/ws/v1/cluster/apps –data-binary @1.json
即可完成攻击,命令被执行,在相应目录下可以看到生成了对应文件
———————

原文:https://blog.csdn.net/xiaolong_4_2/article/details/81839551

拓展阅读(点评/知识):

尊敬的腾讯云客户:
       您好,近日,腾讯云安全中心监测发现,有攻击者利用Hadoop Yarn资源管理系统REST API未授权漏洞对服务器进行攻击,攻击者可以在未授权的情况下远程执行代码。漏洞评级为高危,该漏洞可导致业务机器被攻击者控
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

 

【漏洞详情】
  HadoopYarn资源管理器默认系统配置不当,导致攻击者可以进行未授权访问,并通过API接口执行命令

 

【风险等级】
  高危

 

【漏洞风险】
  导致业务机器被远程控制;

 

【影响版本】
  对外开启了默认端口8088和8090端口的Apache Hadoop YARN资源管理系统;

 

【安全版本】
  更新Hadoop到2.X以上版本并启用Kerberos认证功能

 

【检查方案】
  建议您及时开展自查,查询自身Apache Hadoop YARN资源管理系统有无默认端口对外,可以采取如下方式进行检查:
  在yarn-site.xml配置文件中查找如下检查项:
  1)检查“yarn.resourcemanager.webapp.address”,即ResourceManager对外Web UI地址。用户可通过该地址在浏览器中查看集群各类信息,默认为8088
  2)检查“yarn.resourcemanager.webapp.https.address”,即ResourceManager对外Web UI HTTPS地址。用户可通过该地址在浏览器中查看集群各类信息,默认为8090

 

【修复建议】
1)临时修复方案:配置iptables或安全组策略实施访问控制,禁止不可信IP进行访问;若无必要,端口不要监听在公网,改为监听本地地址或者内网地址。
2)彻底修复方案:及时更新Hadoop到2.X以上版本并启用Kerberos认证功能,禁止匿名访问;

 

【漏洞参考】
1)官方API介绍:http://hadoop.apache.org/docs/current/hadoop-yarn/hadoop-yarn-site/ResourceManagerRest.html#Cluster_Applications_API

本文标题:Hadoop Yarn REST API未授权命令执行测试
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2019/0716_8382.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » Hadoop Yarn REST API未授权命令执行测试
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们