DemonBot

Radware har publicerat information om ett botnät som identifierar sig som DemonBot och riktar in sig mot Hadoop-kluster

Bakgrund

Säkerhetsexperter från Radware har upptäckt ett botnet som identifierar sig som DemonBot. Boten riktar in sig på Hadoop-kluster med felaktigt konfigurerade YARN-komponenter för att starta DDoS-attacker mot tredje part. [1]

Till skillnad från Mirai-boten som spreds som en mask, så distribueras DemonBot via centrala serverar. I dagsläget har över 70 distribueringsservrar upptäckts som skickar ut drygt 1 miljon YARN-exploits per dag.

Baserat på den PoC-kod som publicerades i mars i år attackeras ett internt YARN-api som exponeras för externa anslutningar, och genom det kan kod exekveras inom Hadoop-klustret.

Rekommenderade åtgärder

Se över YARN-konfigurationerna så att inte REST API:et exponeras mot omvärlden, vilket gör det möjligt att lägga till nya applikationer till klustret.

Källor

[1] https://blog.radware.com/security/2018/10/new-demonbot-discovered/