影响范围
Hadoop Yarn RPC
漏洞类型
远程命令执行
利用条件
可未授权访问
漏洞概述
2021年11月15日,有安全研究人员披露Hadoop Yarn RPC存在未授权访问漏洞,此漏洞存在于Hadoop的核心组件Hadoop Yarn中,因Hadoop Yarn默认对外开放RPC服务,导致远程攻击者可利用此未授权漏洞并通过RPC服务执行任意命令,从而达到控制目标服务器的目的,鉴于此漏洞为高危状态,危害较大,且细节已公开、被在野利用,建议所有使用Apache Hadoop的用户及时进行自查并采取安全措施。
漏洞复现
漏洞载荷
https://github.com/Al1ex/Hadoop-Yarn-RPC-RCE
基本使用
python3 Hadoop_Yan_RPC_RCE.py
漏洞检测
python3 Hadoop_Yan_RPC_RCE.py -v true -t http://www.target.com
批量检测
python3 Hadoop_Yan_RPC_RCE.py -s true -f target.txt
安全建议
方式一:启用Kerberos认证功能,以阻止未经授权的访问,相关配置如下:
<property>
<name>hadoop.security.authentication</name>
<value>kerberos</value>
<final>false</final>
<source>core-site.xml</source>
</property>...
<property>
<name>hadoop.rpc.protection</name>
<value>authentication</value>
<final>false</final>
<source>core-default.xml</source>
</property>
方式二:禁止外部地址访问Hadoop RPC服务相关端口或配置为仅对可信地址开放
郑重声明:切勿使用本文中的相关代码进行非法操作,本工具只用于甲方人员以及乙方人员自我检测自我归属资产是否存在漏洞,如有非法利用,造成的法律责任由使用者自行承担!!!