Hadoop 未授权访问漏洞
- [1. 漏洞原理](#1. 漏洞原理)
- [2. 漏洞危害](#2. 漏洞危害)
- [3. 漏洞修复](#3. 漏洞修复)
1. 漏洞原理
Hadoop 是广泛使用的大数据分布式存储与计算平台,包括 HDFS(分布式文件系统)、YARN(资源调度)、MapReduce、Web UI 管理界面等组件。
在默认安装或配置不当的情况下,部分 Hadoop 服务未开启认证和访问控制,导致任何人都可以直接访问其接口,从而产生未授权访问漏洞。
2. 漏洞危害
1、hdfs dfs 或 WebHDFS API 默认不对访问者进行认证,未经授权的人可通过 WebHDFS API 对分布式文件系统执行操作,如:浏览目录、下载文件、上传文件、删除文件、修改文件权限
2、YARN ResourceManager / NodeManager Web UI 未限制访问,击者可直接访问这些接口查看:
- 当前运行任务
- 用户提交的作业信息
- 应用日志
- Container 日志(可能包含敏感数据)
通过 YARN REST API 未授权访问 ,攻击者可以向 YARN 提交自己的 Application,随后通过执行任务反弹 shell 直接获得机器权限
3、横向移动准备
攻击者能查看:集群拓扑、节点 IP、节点负载、存储布局、运行任务的用户、各节点日志等信息,这些信息可以助长后续渗透,如横向移动、凭证搜集
3. 漏洞修复
1、使用反向代理添加认证
2、网络隔离与端口封闭
3、缓解方案,拦截未授权的接口 /cluster/cluster
此方法是一个缓释措施,本质是防止攻击者通过 POC 验证程序发现此漏洞,从而降低此漏洞被利用的概率,但漏洞依然可以进行利用