Aqua Security披露了Apache产品的安全漏洞。
网络安全研究人员发现一种新型攻击,利用Apache Hadoop和Flink软件中的配置缺陷,在目标系统上部署了加密货币矿工。
Aqua Security的研究人员在1月8日发布的报告中指出:“由于攻击者采用shell程序和rootkit来隐匿恶意软件,因此这次攻击具有特殊的迷惑性。” 该恶意软件会删除特定目录的内容并修改系统配置,以规避检测。
Apache Hadoop感染链利用了YARN(Yet Another Resource Negotiator)资源管理器的配置错误,该资源管理器负责追踪集群中的资源并调度应用程序。
具体而言,这一缺陷允许未经身份验证的远程攻击者通过特制的HTTP请求执行任意代码,具体效果取决于用户在执行代码的主机上的权限。针对Apache Flink的类似攻击同样针对错误配置,该配置允许远程攻击者在无需任何身份验证的情况下执行代码。
这些漏洞并非新现象,先前曾有组织以经济利益为动机(例如TeamTNT)利用这些漏洞进行攻击,以在Docker和Kubernetes中进行加密劫持和其他恶意活动而声名鹊起。然而,最新的攻击引人注目的地方在于,在成功渗透Hadoop和Flink应用程序后,攻击者使用rootkit来隐匿加密货币挖掘过程。
攻击始于攻击者发送未经身份验证的请求以部署新应用程序,随后向YARN发送POST请求,要求执行特定命令以启动该新应用程序。该命令的目的是在执行过程中清空/tmp目录下的所有现有文件,从远程服务器下载名为“dca”的文件并执行,最后再次清空/tmp目录下的所有文件。
运行的代码是一个打包的ELF二进制文件,该文件加载了两个rootkit和一个门罗币矿工二进制文件。为了确保攻击的持久性,攻击者创建了一个cron作业,用于下载并执行部署“dca”二进制文件的shell脚本。
通过对攻击者基础设施的分析,发现用于下载有效负载的服务器在2023年10月31日注册。
为缓解此类攻击,建议组织部署基于代理的安全解决方案,以检测加密货币挖矿程序、rootkit、打包的二进制文件以及其他可疑活动。
转自安全客,原文链接:https://www.anquanke.com/post/id/292629
暂无评论内容