Hadoop Yarn RPC未授權訪問漏洞在野利用風險通告

Hadoop Yarn RPC未授權訪問漏洞可執行任意命令，可能導致服務器被黑客接管。騰訊安全專家建議采用Apache Hadoop的政企機構果斷采取必要安全措施，阻止攻擊發生。

漏洞描述

騰訊安全注意到Hadoop Yarn RPC未授權訪問漏洞在野利用事件在互聯網公開，Hadoop Yarn默認對外開放RPC服務，攻擊者可利用RPC服務執行任意命令，進而可以控制服務器。 

同時由于Hadoop Yarn RPC服務訪問控制機制開啟方式與REST API不一樣，因此即使在 REST API有授權認證的情況下，RPC服務所在端口仍然可以未授權訪問。騰訊安全專家建議Apache Hadoop 用戶盡快采取安全措施阻止黑客利用漏洞攻擊。

Hadoop Yarn為Hadoop核心組件之一，負責將資源分配至各個集群中運行各種應用程序，并調度不同集群節點上的任務執行。 

今年一月，騰訊安全威脅情報中心曾經檢測到攻擊者利用Hadoop Yarn REST API未授權命令執行漏洞攻擊云上主機，攻擊成功后會植入挖礦木馬、IRC BotNet后門、DDoS攻擊木馬，攻擊者還會進一步使用其他方式（如SSH爆破）進一步在目標網絡橫向擴散。騰訊安全專家提醒安全運維人員盡快采取安全措施，避免服務器被攻擊者入侵。

受影響的版本

Apache Hadoop 所有版本

漏洞修復建議

• Apache Hadoop官方建議用戶開啟Kerberos認證。
• 建議管理員配置Hadoop RPC服務所在端口僅對可信地址開放。