これまでのところ、Hadoop データベースは他のデータ サイロに比べてハッカーの関心をあまり集めていませんでしたが、新たな調査によると、状況は変わりつつあります。
セキュリティショップのSecuronixは、同社の研究チームがここ数か月、Hadoop YARN、Redis、ActiveMQなどのHadoopコンポーネントの既知の脆弱性を狙った攻撃が急増していることを確認したと報告しています。
研究チームは、サイバー攻撃は単発の攻撃から、パッチが存在する複数の既知の脆弱性を悪用したより複雑な攻撃まで多岐にわたることを発見した。
いずれの場合も、攻撃者が狙うのは、データベースプラットフォームの基盤となるLinuxまたはWindowsサーバーへのアクセスであり、マルウェアに感染させます。この悪質なソフトウェアは通常、攻撃者のために暗号通貨を生成したり、ランサムウェアを注入したり、企業秘密や個人データを盗み出したりします。
「ほとんどの場合、攻撃の焦点は、暗号通貨マイニングやリモートアクセスのための第2段階のペイロードをインストールすることにある」とSecuronixのオレグ・コレスニコフ氏とハルシュヴァルダン・パラシャール氏は報告書の中で述べている。
「他のケースでは、マルウェアは公開されたサービスを拡散して感染し、データを削除し、第 2 段階の暗号通貨マイニングやランサムウェアのペイロードをインストールします。」
Apache Hadoop がコードインジェクション脆弱性 YARN をクラッキング
続きを読む
Hadoop環境に特に厄介なマルウェアの一つが、サイバー空間の万能ナイフとも言えるXbashボットネットマルウェアです。ボットは、Redis(MySQL、Oracle Database、Elastic Searchなど)などのサービスでIPアドレスブロックをスキャンし、開いているポートを探し出し、乗っ取るサーバーを探します。
Xbash が脆弱なサーバーに侵入し、感染した場合、まずホストのデータベースを消去し、次に消去されたデータが暗号化されているだけであると偽って身代金を要求しようとします。
「マルウェアがデータベースサービス(MYSQL、PostgreSQL、MongoDB、phpMyAdmin)にログインできるようになると、サーバーに保存されている既存のデータベースを削除し、身代金の金額とビットコインウォレットを指定した身代金要求メモを含むデータベースを作成します」とTeam Securonixは述べた。
ちなみに、Xbash は Hadoop、Redis、ActiveMQ の 3 つの脆弱性を悪用してシステムに侵入します。
- Hadoop YARN ResourceManager での認証されていないコマンド実行
- Redis での任意のファイル書き込みとリモートコマンド実行
- ActiveMQでの任意のファイルの書き込みと実行
実際に確認されたもう 1 つの感染は、より基本的な Moanacroner マルウェアです。これは、ホスト サーバーで静かに実行され、攻撃者のために Monero を採掘する Sustes マルウェアの修正バージョンです。
どちらの場合も、Securonix の研究者は、管理者はパッチを常に適用し (観測された攻撃はすべて既知のパッチ適用済みの脆弱性を標的としていた)、リモートからアクセスできる Hadoop サービスを制限し、可能であればサービスを保護モードで実行することで攻撃サービスを削減することで、感染の可能性を減らすことができると述べています。®
