发帖
雷达卡
Hadoop 未授权访问漏洞
1. 漏洞原理
Hadoop 是当前广泛应用的大数据分布式处理平台,其核心组件包括 HDFS(Hadoop 分布式文件系统)、YARN(资源调度框架)、MapReduce 计算模型以及用于管理的 Web UI 界面。
在默认安装配置下,部分 Hadoop 服务未启用身份认证机制或访问权限控制策略,导致相关接口对公网或内网用户完全开放。这种配置缺陷使得攻击者无需任何凭证即可直接访问关键服务接口,从而引发未授权访问安全风险。
2. 漏洞危害
- HDFS 和 WebHDFS 接口暴露:由于 WebHDFS API 缺乏访问验证机制,未授权用户可通过该接口执行多种文件操作,例如浏览目录结构、上传或下载文件、删除数据内容以及修改文件权限设置。
hdfs dfs- YARN 管理界面与 REST API 开放:ResourceManager 和 NodeManager 的 Web UI 若未进行访问限制,攻击者可直接查看以下信息:
- 正在运行的任务列表
- 用户提交的作业详情
- 应用程序日志记录
- Container 输出日志(可能泄露敏感配置或业务数据)
- 辅助横向渗透活动:攻击者能够获取集群拓扑结构、节点 IP 地址、主机负载情况、存储分布信息、运行任务所使用的用户身份以及各节点上的详细日志内容。这些信息为后续的内部侦察、横向移动和凭证提取提供了重要支持,显著提升整体攻击成功率。
3. 漏洞修复建议
- 部署反向代理并启用身份认证:在 Hadoop 各个对外服务前端配置反向代理(如 Nginx 或 Apache),并在代理层强制实施用户身份验证机制,确保只有合法用户才能访问后端服务。
- 实施网络隔离与端口管控:将 Hadoop 集群部署于受控内网环境中,关闭非必要的对外服务端口,仅允许特定 IP 或网段进行访问,从网络层面阻断非法连接尝试。
- 接口级防护与未授权请求拦截:针对无法立即完成权限加固的服务,可采用中间件或防火墙规则对高风险 API 接口进行访问控制,阻止常见 POC 扫描行为。
/cluster/cluster需要注意的是,上述第三种方法属于临时缓解措施,主要作用是提高漏洞探测难度,降低被自动化工具发现的概率。然而,该方式并不能从根本上消除漏洞,攻击者仍有可能绕过检测实现实际利用,因此应尽快推进完整的安全配置升级。
京公网安备 11010802022788号
