viernes, agosto 12, 2016

Big Data Security Tales: Apache Amabari Default Admin #BigData #Hardening

Las distribuciones de Apache Haddop vienen con una buena cantidad de herramientas para la gestión de los repositorios de datos, pero también para la gestión de los servicios que son necesarios desplegar y administrar en una arquitectura de Big Data. Una de las herramientas para gestionar los servicios es Apache Ambari que ayuda a hacer el despliegue de los agentes, configurar los servicios y monitorizar el estado de salud de cada uno de ellos.

Figura 1: Big Data Security Tales "Apache Ambari Default Admin"

Por supuesto, como os podéis imaginar, tiene un interfaz de administración web que no debería estar publicado y, en el caso de que se pudiera acceder a él desde Internet, debería tener una gestión de identidades robustas. Pero no siempre es así, y en la misma página de la documentación dejan claro que el usuario y la contraseña por defecto son admin/admin.

Figura 2: Usuario por defecto administrador en Apache Ambari

Esto es un muy mala idea. Tener un usuario y una contraseña por defecto en cualquier software es una mala idea desde el punto de seguridad. Que además sea admin/admin deja claro que no hay políticas de seguridad desde el diseño y que a un atacante no le hace falta ni documentarse para buscarla ya que, de seguro, es una que probará cualquier herramienta automatizara ante cualquier formulario de login - no importa si es el interfaz de acceso de Apache Ambari o de cualquier otra plataforma -.

Figura 3: Servidores con Apache Ambari publicados en Internet descubiertos con Shodan

Hacer un poco de Hacking con buscadores por Shodan o Censys para encontrar los portales de administración de Apache Ambari abiertos al mundo no es demasiado complicado, pero reconocerlos mediante un Google Dork o con Bing Hacking tampoco, ya que basta con jugar con los campos de intitle e intext para sacarlos rápidamente.

Figura 4: Portal de Apache Ambari localizado a través de Google

Una vez localizados, cualquiera puede probar admin/admin y tener la capacidad de administrar remotamente todos los servicios de una arquitectura de Big Data que una empresa haya configurado.

Figura 5: Portal de administración de Apache Ambari

Por supuesto, el HDFS, los volúmenes de datos, las configuraciones de replicación o los servicios de que procesan en Real Time las aplicaciones que estén funcionando sobre ellos.

Figura 6: Administración de volúmenes de datos en Apache Ambari

Antes de poner en producción una distribución de Big Data en funcionamiento, asegúrate de localizar absolutamente todas las herramientas de administración de todos los servicios, de haber aprendido cuáles son las configuraciones por defecto y cómo fortificar el entorno y, si puedes, de evitar conexiones desde Internet de cualquier visitante.
Saludos Malignos!

3 comentarios:

nombre apellidos dijo...

Porque no escribes un security tales de las passwords de los routers de telefonica? Asi nos reimos todos, y mucho

nombre apellidos dijo...

JAJA #telefonica #router #ownage #inseguros #chemaalonso

Jesus S dijo...

Hola Chema. He visto que has escritor varios libros y promocionas otros en tu blog. Yo vivo fuera de España y quería saber si los venden virtualmente o algo parecido porque pagar 30 éuros se sale de mi presupuesto, lo valen sin duda pero como soy de latinoamérica no sé si hagan envíos y el costo es elevado (con respecto al cambio de divisa entre el euro y el sol peruano, si fuera de ee.uu sería distinto). Gracias.

Entrada destacada

Joinnovation & KeepCoding Connect: 2 Eventos para DOERS en #Madrid

Ayer fue el día de ver los proyectos de EQUINOX , el hackathon de ElevenPaths donde durante 24 horas se lanzan proyectos que normalmente ...

Entradas populares