Новый ботнет заражает корпоративные серверы Hadoop

DOMINUS_EDEM

Прошлый ник Khan
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Регистрация
23/1/16
Сообщения
2.067
Репутация
5.626
Реакции
5.872
RUB
0
Депозит
22 000 рублей
Сделок через гаранта
21
Злоумышленники атакуют компонент Hadoop под названием YARN для заражения серверов вредоносным ПО DemonBot.​

В течение месяца в тени стремительно рос новый ботнет из уязвимых серверов Apache Hadoop, предназначенный для осуществления DDoS-атак. Впервые он был обнаружен исследователем из NewSky Security, когда еще только набирал обороты и имел лишь несколько C&C-серверов. Однако, как сообщается в недавнем уведомлении компании Radware, теперь ботнет разросся и использует для заражения более семидесяти серверов.

Задачей этих серверов является сканирование интернета в поисках установок Hadoop с некорректно сконфигурированным модулем Yet Another Resource Negotiator (YARN). YARN является ключевым компонентом фреймворка для обработки данных, используемым в крупных корпоративных сетях или в среде облачных вычислений.

Обнаружив потенциальную жертву, ботнет, который специалисты Radware назвали DemonBot, использует некорректную конфигурацию YARN для превращения уязвимой системы в DDoS-бота. Ботнет осуществляет свыше 1 млн попыток заражения каждый день. Тем не менее, реальное количество ботов подсчитать не удается, поскольку они не сканируют интернет и не заражают уязвимые системы, то есть, не генерируют трафик, который можно отследить.

О проблеме с конфигурацией YARN известно уже как минимум два года. Судя по PoC-кодам, опубликованным на ExploitDB и GitHub , атакующим удалось получить доступ к внутреннему YARN API, открытому для внешних подключений. Эксплоит использует API для развертывания и запуска кастомизированного приложения YARN внутри кластера сервера Hadoop.

Подробнее:
 
  • Теги
    demonbot hadoop ботнет сервер
  • Сверху Снизу