Close

26 Ott 2018

DemonBot attacca i server Apache Hadoop

I ricercatori di Radware hanno recentemente scoperto un nuovo malware denominato DemonBot, una botnet che si rivolge ai cluster Hadoop nel tentativo di sfruttare la potenza di calcolo dei server dell’infrastruttura cloud per lanciare attacchi DDoS (Distributed Denial of Service).
Hadoop è un framework di elaborazione distribuita open source che gestisce lo storage e l’elaborazione dei dati per la creazione di intelligenze artificiali o piattaforme di Machine Learning per l’analisi dei big data in esecuzione nei sistemi cluster.
Il gruppo hacker nell’attacco ha preso di mira componenti Hadoop YARN (Yet Another Resource Negotiator, componente fondamentale del framework di elaborazione dati Apache Hadoop) configurati in modo errato allo scopo di installare il malware DemonBot DDoS sui server.
Una volta individuata una possibile vittima, DemonBot tenta di sfruttare l’errata configurazione di YARN per installare un processo “bot” sul sistema vulnerabile di Hadoop.
È importante notare che DemonBot è una botnet simile ad altre botnet DDoS come Mirai, ma a differenza di Mirai, DemonBot non mostra comportamenti simili a worm, ma si diffonde solo attraverso server centrali.
Dal rilevamento effettuato nei primi giorni risultavano oltre 70 server di exploit attivi che stavano attivamente diffondendo DemonBot.
Le raccomandazioni per chi utilizza Apache Hadoop sono quelle di limitare l’accesso a YRN WebResource Manager configurando le politiche di controllo degli accessi e limitando il traffico in entrata alla porta specificata per WebResource Manager.

 

Maggiori dettagli su https://blog.radware.com/security/2018/10/new-demonbot-discovered/

DemonBot attacca i server Apache Hadoop ultima modifica: 2018-10-26T16:00:30+00:00 da Alessandra Rose

26 Ott 2018