【安全通报】Hadoop Yarn RPC服务未授权访问漏洞

近日，网络上出现 Hadoop Yarn RPC 服务未授权访问漏洞的在野利用事件，攻击者可在未经过身份验证的情况下通过该漏洞在影响主机执行任意命令。

漏洞描述

Yarn 是 Hadoop 资源管理器，它是一个通用资源管理系统和调度平台，可为上层应用提供统一的资源管理和调度。

由于 Hadoop Yarn 默认对外开放了 RPC 服务，攻击者可在未经过身份验证的情况下通过该漏洞在受影响主机执行任意命令，最终控制服务器。

FOFA 查询

app="APACHE-hadoop-YARN"

影响范围

影响版本：Apache Hadoop 所有版本

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="APACHE-hadoop-YARN"）共有 7,055 个相关服务对外开放。中国使用数量最多，共有 4,912 个；美国第二，共有 1,103 个；新加坡第三，共有 246 个；韩国第四，共有 95 个；德国第五，共有 77 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区北京使用数量最多，共有 211 个；广东第二，共有 115 个；上海第三，共有 109 个；浙江第四，共有 81 个；山东第五，共有 41 个。

漏洞复现

Vulfocus 漏洞靶场环境

目前 Vulfocus 已经集成 Hadoop 环境，可通过

docker pull vulfocus/hadoop:latest

进行拉取运行，也可通过 http://vulfocus.fofa.so/ 进行测试。

修复建议

1、Apache Hadoop官方建议用户开启Kerberos认证，相关配置如下：

<property>
    <name>hadoop.security.authentication</name>
    <value>kerberos</value>
    <final>false</final>
    <source>core-site.xml</source>
</property>...
<property>
    <name>hadoop.rpc.protection</name>
    <value>authentication</value>
    <final>false</final>
    <source>core-default.xml</source>
</property>

2、设置 Hadoop RPC服务所在端口仅对可信地址开放。

参考

[1] https://help.aliyun.com/noticelist/articleid/1060952286.html

[2] https://hadoop.apache.org/docs/current/hadoop-yarn/hadoop-yarn-site/YARN.html

[3] https://hadoop.apache.org/docs/current/hadoop-project-dist/hadoop-common/SecureMode.html#Configuration

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。