Con Demonbot a rischio Hadoop , il cloud e l’IoT

Un alert di Radware evidenzia nuovi rischi per la sicurezza di server hadoop anche non x86, per il cloud e per dispositivi IoT. Oltre un milione di attacchi a settimana

 

In termini di sicurezza, a livello enterprise o nel cloud non c’è un momento di tranquillità. Radware Threat Research Center ha emanato un alert degno di nota per i rischi che potrebbero correre le aziende che usano il cloud e hadoop.

In sostanza, si riferisce al fatto che sta monitorando e tenendo strettamente sotto controllo un agente molto pericoloso che fa leva su comandi remoti non autenticati di Hadoop YARN al fine di infettare cluster tramite un nuovo pur se poco sofisticato bot che identifica sé stesso come DemonBot.

La vulnerabilità, evidenzia Radware, espone a rischi le REST API che permettono alle applicazioni remote di sottomettere nuove applicazioni al cluster.

L’esistenza di DemonBot è stata rilevata di recente dopo una serie di impennate in richieste per /ws/v1/cluster/apps/new-application che sono apparse nella Threat Deception Network di Radware.

La nostra rete di rilevamento ha registrato molteplici tentativi per /ws/v1/cluster/apps/new-application, spartiti lentamente alla fine di Settembre per poi crescere sino ad oltre un milione di tentativi al giorno in Ottobre. Il numero di indirizzi IP unici da cui le richieste hanno avuto origine è nel frattempo cresciuto da pochi server sino a d oltre settanta nella sola ultima settimana”, hanno messo in guardia i ricercatori di Radware.

Un bicchiere mezzo pieno ma attenti all’IoT

Aspetto al momento positivo, si fa per dire, è che DemonBot si diffonde solo tramite server centrali e non evidenzia un comportamento worm-like come quello che ha caratterizzato i bot basati su Mirai.

Alla data Radware sta tracciando oltre settanta server attivi in exploit del bot che stanno attivamente diffondendo DemonBot con un tasso aggregato di oltre un milione di exploit al giorno.

Una complicazione per chi si occupa di sicurezza è costituita però dal fatto che DemonBot non si limita ad attaccare server Hadoop a standard di mercato x86 ma risulta compatibile a livello di codice binario con una ampia gamma dei più noti dispositivi IoT, aderendo in questo al comportamento evidenziatosi in Mirai.

Di certo però, osserva Radware, non è questa la prima volta che i server di infrastrutture cloud sono oggetto di attacco.

All’inizio del mese, ad esempio, i ricercatori nella sicurezza di Ankit Anubhavi hanno rilevato un hacker che faceva leva su un bug di Hadoop YARN bug in una variante del botnet Sora.