【IT168 评论】4月30日，阿里云发现，俄罗斯黑客利用Hadoop Yarn资源管理系统REST API未授权访问漏洞进行攻击。

　　Hadoop是一款由Apache基金会推出的分布式系统框架，它通过著名的 MapReduce 算法进行分布式处理，Yarn是Hadoop集群的资源管理系统。

　　此次事件主要因Hadoop YARN 资源管理系统配置不当，导致可以未经授权进行访问，从而被攻击者恶意利用。攻击者无需认证即可通过REST API部署任务来执行任意指令，最终完全控制服务器。

　　针对此类大规模攻击，阿里云平台已可默认拦截;同时，基于云盾态势感知产品，阿里云也将最新的风险评估和防护建议，通过邮件、电话方式通知给用户，协助云上用户进行应急修复。

　　一、利用方式还原及趋势判断

　　1、通过对比分析，阿里云安全专家观察到，与之前Redis、CouchDB事件相比，Hadoop作为一个分布式计算应用程序框架，让其更容易被“攻陷”，因为：

　　Hadoop种类和功能繁多，各种组件安全问题，可能会带来更大的攻击面;

　　针对某一个薄弱点的攻击，可能通过该框架分布式的特性，迅速扩散到所有节点。

　　2、灰黑产的入侵变现的手段，正在从入侵利用云上普通主机资源挖矿获利(Web服务器、数据库服务器等)，转向攻击专用算力应用，以窃取更大的算力进行挖矿获利转变(如Hadoop等分布式计算平台)。从本次样本的分析来看，利用专用算力应用来攻击变现的方式，还处在早期的测试阶段;随着加密货币的进一步繁荣，该类型的攻击风险将会愈发凸显。

　　总的来说，灰黑产对经济利益的渴求，推动着这个行业的变迁升级。随着加密货币市场热度的攀升，入侵挖矿的灰色产业，也会随之扩大;挖矿这种最有效变现手段对算力不断扩大的需求，必然引导灰黑产的攻击目标逐步转向更高算力的产品和服务。

　　因此，阿里云安全专家建议，不论是SaaS化服务的算力产品提供商，还是算力的最终使用者，都应该更加的关注安全问题，只有在发展自己的业务的同时切实加强安全水平，才能保障业务长期健康稳定的发展。

　　附：详细YARN REST API如下所示http://hadoop.apache.org/docs/r2.4.1/hadoop-yarn/hadoop-yarn-site/WebServicesIntro.html

　　二、安全建议

　　针对此类大规模攻击，阿里云平台已可默认拦截，降低漏洞对用户的直接影响;在此基础上，阿里云将持续关注新的入侵方法和利用方式，也建议企业参考以下方法，进一步提升安全防护能力和运营能力。

　　1、如需进行“止血”，可使用“ECS/VPC安全组”或“主机防火墙”对 “受影响服务端口” 访问源IP进行控制;如果本身Hadoop环境仅对内网提供服务，请不要将Hadoop服务端口发布到互联网;

　　2、若使用自建的Hadoop，可根据实际情况及时更新补丁，并启用“Kerberos”认证功能;

　　3、同时，阿里云E-MAPREDUCE服务已经部署默认防御策略，确保新上云的用户免受Hadoop Yarn 未授权访问漏洞攻击影响;

　　4、阿里云 · 云盾 态势感知产品已支持检测针对此漏洞的攻击;企业也可通过安全管家服务，在阿里云安全专家的协助下进行安全加固及优化工作，最大限度减少漏洞风险。