Hadoop Yarn RPC远程命令执行

影响范围

Hadoop Yarn RPC

漏洞类型

远程命令执行

利用条件

可未授权访问

漏洞概述

2021年11月15日，有安全研究人员披露Hadoop Yarn RPC存在未授权访问漏洞，此漏洞存在于Hadoop的核心组件Hadoop Yarn中，因Hadoop Yarn默认对外开放RPC服务，导致远程攻击者可利用此未授权漏洞并通过RPC服务执行任意命令，从而达到控制目标服务器的目的，鉴于此漏洞为高危状态，危害较大，且细节已公开、被在野利用，建议所有使用Apache Hadoop的用户及时进行自查并采取安全措施。

漏洞复现

漏洞载荷

https://github.com/Al1ex/Hadoop-Yarn-RPC-RCE

基本使用

python3 Hadoop_Yan_RPC_RCE.py

 漏洞检测

python3 Hadoop_Yan_RPC_RCE.py -v true -t http://www.target.com 

批量检测

python3 Hadoop_Yan_RPC_RCE.py -s true -f target.txt

 安全建议

方式一：启用Kerberos认证功能，以阻止未经授权的访问，相关配置如下：

    hadoop.security.authentication
    kerberos
    false
    core-site.xml
...

    hadoop.rpc.protection
    authentication
    false
    core-default.xml

方式二：禁止外部地址访问Hadoop RPC服务相关端口或配置为仅对可信地址开放

郑重声明：切勿使用本文中的相关代码进行非法操作，本工具只用于甲方人员以及乙方人员自我检测自我归属资产是否存在漏洞，如有非法利用，造成的法律责任由使用者自行承担!!!