Esposizione di Nodi Cluster HDFS/Hadoop

 

Proto: N010617. 

Con la presente Yoroi desidera informarLa riguardo al rilevamento di un vasto numero di nodi di rete appartenenti ad installazioni HDFS/Hadoop esposti al pubblico. Le tecnologie di nuova generazione HDFS/Hadoop sono correntemente utilizzate per l’implementazione di servizi ad alte prestazioni per la gestione ed il processamento di Big-Data in ambiti applicativi di varia natura (ricerca scientifica, analisi mercato, IoT, modelli e servizi avanzati, etc..).

L’esposizione su rete pubblica di interfacce di amministrazione relative a nodi appartenenti ad infrastrutture Hadoop rappresenta vari punti di criticità in quanto:

  1. Porzioni di dati personali, sensibili o riservati possono essere esposti su internet senza adeguati controlli di autenticazione e accesso.
  2. Come accaduto in casi analoghi nel corso degli ultimi anni, attaccanti remoti possono inibire l’accesso ai dati ed esigere il pagamento di riscatti monetari in cambio della decifrazione del contenuto dei dati compromessi (attacchi di tipologia “ransom”, rif. Early Warning N010715).

Lo stato attuale dell’esposizione risulta coinvolgere principalmente istanze appartenenti a Provider di servizi cloud come Amazon, Hangzhou Alibaba Advertising Co.,Ltd., Microsoft Azure e Google Cloud dislocate principalmente in Stati Uniti  (circa 2,000), Cina (circa 1,500) e Germania (138). Di seguito si riportano le statistiche relativamente alla geo-localizzazione delle istanze HDFS/Hadoop esposte.


italy_hadop.png
Figura 1. Geo-localizzazione istanze Hadoop/HDFS esposte (Sorgente:ShodanHQ)


Benché i rilievi indichino un coinvolgimento minoritario relativamente agli indirizzi di rete italiani, l’esposizione da parte delle Organizzazioni italiane può essere maggiore in quanto la maggior parte dei nodi Hadoop/HDFS raggiungibili da reti pubbliche risulta appartenere a provider di servizi cloud comunemente utilizzati sia in ambiti PME che Enterprise. Perciò, al fine di appurare che eventuali nodi Hadoop/HDFS non siano esposti sulla internet pubblica Yoroi consiglia di verificare eventuali installazioni Hadoop/HDFS in uso presso le vostre organizzazioni, incluse le porzioni di rete ospitate all’interno di infrastrutture Cloud fornite da Provider terzi. Per ulteriori dettagli su configurazioni di sicurezza relative all’infrastruttura Hadoop si rimanda all’apposita guida

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia inoltre di mantenere alto il livello di consapevolezza dei vostri utenti, avvisandoli periodicamente delle minacce in corso e di l’utilizzare di un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index