大柚子

这世界不过如此

概述

Apache Hadoop YARN (Yet Another Resource Negotiator)是一种新的 Hadoop 资源管理器,它是一个通用的资源管理系统,可以为上层应用提供统一的资源管理以及调度,它的引入为集群在利用率、资源统一管理还有数据共享等方面带来了巨大好处。

Hadoop Yarn默认了对外开放RPC服务,攻击者可以利用RPC服务执行任意命令,进而操控服务器。同时由于Hadoop Yarn RPC的服务访问控制机制开启方式与REST API的方式不一样,所以即使在 REST API有授权认证的情况下,RPC服务所在端口依然可以未授权访问

影响版本

全版本

复现过程

利用网上脚本:https://github.com/cckuailong/YarnRpcRCE

反弹shell替换后面的命令即可。

应急排查

1、通过排查YARN的日志文件
yarn-root-nodemanager-master.hadoop.log

2、查看docker运行日志

通过命令:docker logs -f 容器id

注:利用成功基本没有日志记录,只有出现错误的时候才有可能有些痕迹,此入侵目前能想到的就是能有第三方设备记录。

修复建议

Apache Hadoop官方建议用户开启Kerberos认证。

设置 Hadoop RPC服务所在端口仅对可信地址开放。

建议升级并启用Kerberos的认证功能,阻止未经授权的访问。

Print Friendly, PDF & Email

发表回复

您的电子邮箱地址不会被公开。