Os invasores implantam rootkits em servidores Apache Hadoop e Flink

Início / Tecnologia da Informação / Os invasores implantam rootkits em servidores Apache Hadoop e Flink
Os invasores implantam rootkits em servidores Apache Hadoop e Flink

Pesquisadores descobriram uma nova campanha de ataque de malware que explora configurações incorretas no Apache Hadoop e no Flink, duas tecnologias para processamento de grandes conjuntos de dados e fluxos de dados. Os invasores por trás da campanha exploram esses problemas sem autenticação para implantar rootkits nos sistemas subjacentes e, em seguida, instalar um programa de mineração de criptomoeda Monero.

“Este ataque é particularmente intrigante devido ao uso de packers e rootkits pelo invasor para ocultar seu malware”, disseram pesquisadores da Aqua Security em um relatório. “A simplicidade com que estas técnicas são empregadas representa um desafio significativo para as defesas de segurança tradicionais.”

Falta de autenticação no Hadoop YARN e Flink

Os invasores aproveitaram uma configuração incorreta no componente ResourceManager do Hadoop YARN que permite que usuários não autenticados enviem solicitações de API para implantar novos aplicativos. Hadoop YARN (Yet Another Resource Negotiator) é o componente do Hadoop que separa o gerenciamento de recursos e o agendamento de tarefas do aplicativo da camada de processamento de dados. O próprio Hadoop é uma estrutura de código aberto que permite que grandes conjuntos de dados sejam distribuídos e processados ​​em clusters de computadores e é uma ferramenta comum para cientistas de dados.

“O YARN permite que usuários não autenticados criem e executem aplicativos. Essa configuração incorreta pode ser explorada por um invasor remoto não autenticado por meio de uma solicitação HTTP especialmente projetada, potencialmente levando à execução de código arbitrário, dependendo dos privilégios do usuário no nó onde o código é executado”, disseram os pesquisadores.

Este problema não é novo e já foi explorado antes por invasores para comprometer clusters Hadoop, por exemplo, nos últimos anos, em campanhas de um grupo denominado TeamTNT, especializado em atacar várias tecnologias nativas da nuvem, incluindo clusters Kubernetes, APIs Docker, instâncias Weave Scope, JupyterLab e Implantações de Jupyter Notebook e servidores Redis.

Os invasores por trás da nova campanha observada pelo Aqua também tiveram como alvo o Apache Flink, uma estrutura de processamento de fluxo de dados e processamento em lote de código aberto por meio de uma configuração insegura diferente no mecanismo de upload de arquivos, que pode permitir que invasores não autenticados carreguem JAR (Java Archive) não autorizados. ) arquivos no servidor. Como no caso do Hadoop, isso pode levar à execução remota de código no servidor.

Leia também: A vulnerabilidade do Magic Keyboard permite o controle do iOS, dispositivos Android, Linux e MacOS

Dos rootkits à criptomineração

Na cadeia de ataque contra o Hadoop, os invasores primeiro exploram a configuração incorreta para criar uma nova aplicação no cluster e alocar recursos computacionais para ela. Na configuração do contêiner do aplicativo, eles colocam uma série de comandos shell que usam a ferramenta de linha de comando curl para baixar um binário chamado “dca” de um servidor controlado pelo invasor dentro do diretório /tmp e, em seguida, executá-lo. Uma solicitação subsequente ao Hadoop YARN executará o aplicativo recém-implantado e, portanto, os comandos shell.

Dca é um binário ELF nativo do Linux que serve como downloader de malware. Seu objetivo principal é baixar e instalar dois outros rootkits e colocar outro arquivo binário chamado tmp no disco. Ele também define um trabalho crontab para executar um script chamado dca.sh para garantir a persistência no sistema. O binário tmp incluído no próprio dca é um programa de mineração de criptomoeda Monero, enquanto os dois rootkits, chamados initrc.so e pthread.so, são usados ​​para ocultar o script dca.sh e o arquivo tmp no disco.

O endereço IP usado para direcionar o honeypot Hadoop do Aqua também foi usado para direcionar os honeypots da estrutura Flink, Redis e Spring (via CVE-2022-22965). Isto sugere que os ataques Hadoop são provavelmente parte de uma operação maior que visa diferentes tecnologias, como aconteceu com as operações da TeamTNT no passado. Quando investigado via Shodan, o endereço IP parecia hospedar um servidor web com uma interface Java chamada Stage que provavelmente faz parte da implementação de carga útil Java do Metasploit Framework.

Leia também: Protegendo as redes do Windows: volte ao básico

Mitigando as vulnerabilidades do Apache Flink e do Hadoop ResourceManager

“Para mitigar vulnerabilidades no Apache Flink e no Hadoop ResourceManager, estratégias específicas precisam ser implementadas”, disse Assaf Morag, pesquisador de segurança da Aqua Security, ao CSO por e-mail. “Para o Apache Flink, é crucial proteger o mecanismo de upload de arquivos. Isso envolve restringir a funcionalidade de upload de arquivos a usuários autenticados e autorizados e implementar verificações nos tipos de arquivos que estão sendo carregados para garantir que sejam legítimos e seguros. Medidas como limites de tamanho de arquivo e restrições de tipo de arquivo podem ser particularmente eficazes.”

Enquanto isso, o Hadoop ResourceManager precisa ter autenticação e autorização configuradas para acesso à API. As opções possíveis incluem integração com Kerberos – uma escolha comum para ambientes Hadoop – LDAP ou outros sistemas de autenticação de usuário empresarial suportados.

“Além disso, a configuração de listas de controle de acesso (ACLs) ou a integração com sistemas de controle de acesso baseado em funções (RBAC) podem ser eficazes para configuração de autorização, um recurso com suporte nativo do Hadoop para vários serviços e operações”, diz Morag. Também é recomendado considerar a implantação de soluções de segurança baseadas em agentes para contêineres que monitoram o ambiente e podem detectar criptomineradores, rootkits, binários ofuscados ou compactados e outros comportamentos suspeitos em tempo de execução.

Roberto Magalhães

O cérebro editor por trás do Tecnologico.online, é um entusiasta apaixonado por tecnologia. Canaliza sua fascinação para criar conteúdo envolvente e informativo. Sua dedicação à inovação reflete-se nos artigos que produz, abrangendo uma ampla gama de tópicos tecnológicos. Com um olhar atento para as últimas tendências e desenvolvimentos, busca tornar...

Voltar para o blog

Deixe um comentário

Os comentários precisam ser aprovados antes da publicação.