时间:2021-11-23 作者:奇安信CERT
奇安信CERT
致力于第一时间为企业级用户提供安全风险通告和有效解决方案。
近日,奇安信CERT监测到ApacheHadoopYarnRPC未授权访问漏洞细节及PoC已在互联网公开。ApacheHadoopYarnRPC接口在默认情况下对外开放服务且不需要身份认证,远程攻击者可在未授权情况下访问RPC端口通过YarnClient创建应用程序并将其提交给ApacheHadoopYarnServer,进而在其容器中执行代码。ApacheHadoop通常用于集群,此漏洞若成功利用可能控制ApacheHadoopYarn服务器进而控制集群,漏洞危害较大,目前已监测到该漏洞存在在野利用。鉴于此漏洞危害较大、利用简单,建议客户按照处置建议中的方法缓解此漏洞危害。
当前漏洞状态
漏洞描述
近日,奇安信CERT监测到ApacheHadoopYarnRPC未授权访问漏洞细节及PoC已在互联网公开。ApacheHadoopYarnRPC接口在默认情况下对外开放服务且不需要身份认证,远程攻击者可在未授权情况下访问RPC端口通过YarnClient创建应用程序并将其提交给ApacheHadoopYarnServer,进而在其容器中执行代码。ApacheHadoop通常用于集群,此漏洞若成功利用可能控制ApacheHadoopYarn服务器进而控制集群,漏洞危害较大,目前已监测到该漏洞存在野利用。鉴于此漏洞危害大、利用简单,建议客户按照处置建议中的方法缓解此漏洞危害。
1、ApacheHadoopYarnRPC未授权访问漏洞
奇安信CERT已复现该漏洞,截图如下:
风险等级
奇安信CERT风险评级为:高危
风险等级:蓝色(一般事件)
影响范围
ApacheHadoop全版本
处置建议
目前官方暂未发布修复版本。
缓解措施:根据ApacheHadoop官方建议开启Kerberos认证,参考https://hadoop.apache.org/docs/current/hadoop-project-dist/hadoop-common/SecureMode.html#Configuration,如非业务需要,将ApacheHadoop配置在内网环境中,不向公网开放。
产品解决方案
奇安信开源卫士已更新
奇安信开源卫士20211122.889版本已支持对ApacheHadoopYarnRPC未授权漏洞的检测。
奇安信天眼产品解决方案
奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.1122.13117上版本。规则名称:HadoopYARNRPC未授权访问/命令执行漏洞,规则ID:0x5e04。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
奇安信网神网络数据传感器系统产品检测方案
奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:52371,建议用户尽快升级检测规则库至202111222330以后版本并启用该检测规则。
参考资料
[1]https://hadoop.apache.org/docs/current/hadoop-project-dist/hadoop-common/SecureMode.html#Configuration
时间线
2021年11月23日,奇安信CERT发布安全风险通告
到奇安信NOX-安全监测平台查询更多漏洞详情
奇安信CERT长期招募安全研究员
95015服务热线
微信公众号