【漏洞资讯】Hadoop Yarn RPC未授权访问漏洞

漏洞时间线:2021年11月15日

 

漏洞介绍

Hadoop Yarn RPC未授权访问漏洞存在于Hadoop Yarn中负责资源管理和任务调度的ResourceManager,成因是该组件为用户提供的RPC服务默认情况下无需认证即可访问,因此把RPC服务暴露在公网上是非常危险的。

      RPC服务利用这一问题会影响到部分有安全意识的用户。一部分用户基于过去几年中基于多种利用Hadoop的历史蠕虫已经意识到RESTful API的风险,通过配置开启了基于HTTP的认证,或通过防火墙/安全组封禁了RESTful API对应的8088端口,但由于他们没有意识到Hadoop同时提供RPC服务,并且访问控制机制开启方式跟REST API不一样,导致用户Hadoop集群中RPC服务所在的8032端口仍然可以未授权访问。

经测试可知,对于8032暴露在互联网且未开启kerberos的Hadoop Yarn ResourceManager,编写应用程序调用yarnClient.getApplications()即可查看所有应用信息

漏洞名称
Hadoop Yarn RPC未授权访问漏洞
威胁等级
high
漏洞威胁
Hadoop Yarn
影响范围
Hadoop Yarn 所有版本
漏洞类型
未授权访问漏洞→RCE
利用难度
N/A
漏洞编号
暂无
是否有POC
N/A

 

信息详情

Hadoop Yarn RPC未授权访问漏洞存在于Hadoop Yarn中负责资源管理和任务调度的ResourceManager,成因是该组件为用户提供的RPC服务默认情况下无需认证即可访问,因此把RPC服务暴露在公网上是非常危险的。

      RPC服务利用这一问题会影响到部分有安全意识的用户。一部分用户基于过去几年中基于多种利用Hadoop的历史蠕虫已经意识到RESTful API的风险,通过配置开启了基于HTTP的认证,或通过防火墙/安全组封禁了RESTful API对应的8088端口,但由于他们没有意识到Hadoop同时提供RPC服务,并且访问控制机制开启方式跟REST API不一样,导致用户Hadoop集群中RPC服务所在的8032端口仍然可以未授权访问。

经测试可知,对于8032暴露在互联网且未开启kerberos的Hadoop Yarn ResourceManager,编写应用程序调用yarnClient.getApplications()即可查看所有应用信息

修复方式

临时修补建议

1. Apache Hadoop官方建议用户开启Kerberos认证。

2. 设置 Hadoop RPC服务所在端口仅对可信地址开放。

3. 建议升级并启用Kerberos的认证功能,阻止未经授权的访问。

具体缓解以及防护措施可见 https://help.aliyun.com/noticelist/articleid/1060952286.html

Apache Hadoop官方建议用户开启Kerberos认证。

漏洞利用

见零号靶场 http://galaxy.pingan.com.cn/range/detail/649

参考链接

https://hadoop.apache.org/docs/current/hadoop-yarn/hadoop-yarn-site/YARN.html

阿里云安全公众号

本文原创,作者:Galaxy,其版权均为Galaxy Lab所有。如需转载,请注明出处:http://galaxylab.pingan.com.cn/%e3%80%90%e6%bc%8f%e6%b4%9e%e8%b5%84%e8%ae%af%e3%80%91hadoop-yarn-rpc%e6%9c%aa%e6%8e%88%e6%9d%83%e8%ae%bf%e9%97%ae%e6%bc%8f%e6%b4%9e/

发表评论

*