Hadoop 未授权访问漏洞

Hadoop 未授权访问漏洞

  • [1. 漏洞原理](#1. 漏洞原理)
  • [2. 漏洞危害](#2. 漏洞危害)
  • [3. 漏洞修复](#3. 漏洞修复)

1. 漏洞原理

Hadoop 是广泛使用的大数据分布式存储与计算平台,包括 HDFS(分布式文件系统)、YARN(资源调度)、MapReduce、Web UI 管理界面等组件。

在默认安装或配置不当的情况下,部分 Hadoop 服务未开启认证和访问控制,导致任何人都可以直接访问其接口,从而产生未授权访问漏洞。

2. 漏洞危害

1、hdfs dfs 或 WebHDFS API 默认不对访问者进行认证,未经授权的人可通过 WebHDFS API 对分布式文件系统执行操作,如:浏览目录、下载文件、上传文件、删除文件、修改文件权限

2、YARN ResourceManager / NodeManager Web UI 未限制访问,击者可直接访问这些接口查看:

  • 当前运行任务
  • 用户提交的作业信息
  • 应用日志
  • Container 日志(可能包含敏感数据)

通过 YARN REST API 未授权访问 ,攻击者可以向 YARN 提交自己的 Application,随后通过执行任务反弹 shell 直接获得机器权限

3、横向移动准备

攻击者能查看:集群拓扑、节点 IP、节点负载、存储布局、运行任务的用户、各节点日志等信息,这些信息可以助长后续渗透,如横向移动、凭证搜集

3. 漏洞修复

1、使用反向代理添加认证

2、网络隔离与端口封闭

3、缓解方案,拦截未授权的接口 /cluster/cluster

此方法是一个缓释措施,本质是防止攻击者通过 POC 验证程序发现此漏洞,从而降低此漏洞被利用的概率,但漏洞依然可以进行利用

相关推荐
Databend8 小时前
2KB histogram 背后:Databend 如何低成本追踪长尾延迟
大数据·数据分析·agent
Databend10 小时前
从湖仓升级为 Agent 时代的数据控制面,Snowflake 和 Databricks 有哪些布局
大数据·数据库·agent
阿里云大数据AI技术1 天前
StarRocks x Fluss x Paimon湖流一体方案:构建秒级响应、湖流一体的实时数据引擎
大数据·人工智能
Databend1 天前
Agent 轨迹分析与归因的数据工程实践
大数据·数据库·agent
喵个咪1 天前
Go Wind UBA 拆解系列 - 架构总览:三服务、数据流与契约优先
大数据·后端·go
喵个咪1 天前
Go Wind UBA 拆解系列 - 多租户与安全:两套隔离机制的边界
大数据·后端·go
喵个咪1 天前
Go Wind UBA 拆解系列 - OLAP 与 SQL 硬核:25 个分析模型怎么落地
大数据·后端·go
喵个咪1 天前
Go Wind UBA 拆解系列 - SDK 与采集层:从浏览器到 Kafka
大数据·后端·go
QCC产品中心2 天前
MiniMax Agent 接入实测:企业查询、股权穿透与 UBO 识别(附 Prompt 模板)
大数据·mcp·金融/非金融
SelectDB2 天前
Apache Doris Python UDF:让 SQL 直接调用 Python 生态,支撑 Agent 时代复杂业务逻辑
大数据·数据库·python