【漏洞预警】Hadoop Yarn RPC未授权访问漏洞

admin 2021年11月15日16:43:05未分类 安全漏洞评论98 views971字阅读3分14秒阅读模式


01

时间轴

·  2021/10/29

阿里云安全团队在野捕获Hadoop Yarn RPC未授权访问漏洞

·  2021/10/29

阿里云云防火墙IPS更新防护策略,支持该漏洞拦截。

·  2021/10/30

阿里云安全团队向Apache、Hadoop官方报告了Hadoop Yarn RPC未授权访问漏洞,确认其影响面和解决方案

·  2021/11/15

阿里云安全发布漏洞风险提示。
阿里云云安全中心应急漏洞上线策略,支持该漏洞检测。


02

风险等级


评定方式

等级

威胁等级

高危

影响范围

较广

利用难度

03

漏洞分析

      Hadoop Yarn RPC未授权访问漏洞存在于Hadoop Yarn中负责资源管理和任务调度的ResourceManager,成因是该组件为用户提供的RPC服务默认情况下无需认证即可访问,因此把RPC服务暴露在公网上是非常危险的。
      RPC服务利用这一问题会影响到部分有安全意识的用户。一部分用户基于过去几年中基于多种利用Hadoop的历史蠕虫已经意识到RESTful API的风险,通过配置开启了基于HTTP的认证,或通过防火墙/安全组封禁了RESTful API对应的8088端口,但由于他们没有意识到Hadoop同时提供RPC服务,并且访问控制机制开启方式跟REST API不一样,导致用户Hadoop集群中RPC服务所在的8032端口仍然可以未授权访问。
       经测试可知,对于8032暴露在互联网且未开启kerberos的Hadoop Yarn ResourceManager,编写应用程序调用yarnClient.getApplications()即可查看所有应用信息

04

漏洞演示


【漏洞预警】Hadoop Yarn RPC未授权访问漏洞


【漏洞预警】Hadoop Yarn RPC未授权访问漏洞


05

参考链接


具体缓解以及防护措施可见 https://help.aliyun.com/noticelist/articleid/1060952286.html


1、 Apache Hadoop官方建议用户开启Kerberos认证。

2、利用阿里云安全组功能,设置 Hadoop RPC服务所在端口仅对可信地址开放。


06

参考链接


https://hadoop.apache.org/docs/current/hadoop-yarn/hadoop-yarn-site/YARN.html




【漏洞预警】Hadoop Yarn RPC未授权访问漏洞


原文始发于微信公众号(阿里云应急响应):【漏洞预警】Hadoop Yarn RPC未授权访问漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月15日16:43:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞预警】Hadoop Yarn RPC未授权访问漏洞 https://cn-sec.com/archives/632117.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: