viernes, agosto 12, 2016

Big Data Security Tales: Apache Amabari Default Admin #BigData #Hardening

Las distribuciones de Apache Haddop vienen con una buena cantidad de herramientas para la gestión de los repositorios de datos, pero también para la gestión de los servicios que son necesarios desplegar y administrar en una arquitectura de Big Data. Una de las herramientas para gestionar los servicios es Apache Ambari que ayuda a hacer el despliegue de los agentes, configurar los servicios y monitorizar el estado de salud de cada uno de ellos.

Figura 1: Big Data Security Tales "Apache Ambari Default Admin"

Por supuesto, como os podéis imaginar, tiene un interfaz de administración web que no debería estar publicado y, en el caso de que se pudiera acceder a él desde Internet, debería tener una gestión de identidades robustas. Pero no siempre es así, y en la misma página de la documentación dejan claro que el usuario y la contraseña por defecto son admin/admin.

Figura 2: Usuario por defecto administrador en Apache Ambari

Esto es un muy mala idea. Tener un usuario y una contraseña por defecto en cualquier software es una mala idea desde el punto de seguridad. Que además sea admin/admin deja claro que no hay políticas de seguridad desde el diseño y que a un atacante no le hace falta ni documentarse para buscarla ya que, de seguro, es una que probará cualquier herramienta automatizara ante cualquier formulario de login - no importa si es el interfaz de acceso de Apache Ambari o de cualquier otra plataforma -.

Figura 3: Servidores con Apache Ambari publicados en Internet descubiertos con Shodan

Hacer un poco de Hacking con buscadores por Shodan o Censys para encontrar los portales de administración de Apache Ambari abiertos al mundo no es demasiado complicado, pero reconocerlos mediante un Google Dork o con Bing Hacking tampoco, ya que basta con jugar con los campos de intitle e intext para sacarlos rápidamente.

Figura 4: Portal de Apache Ambari localizado a través de Google

Una vez localizados, cualquiera puede probar admin/admin y tener la capacidad de administrar remotamente todos los servicios de una arquitectura de Big Data que una empresa haya configurado.

Figura 5: Portal de administración de Apache Ambari

Por supuesto, el HDFS, los volúmenes de datos, las configuraciones de replicación o los servicios de que procesan en Real Time las aplicaciones que estén funcionando sobre ellos.

Figura 6: Administración de volúmenes de datos en Apache Ambari

Antes de poner en producción una distribución de Big Data en funcionamiento, asegúrate de localizar absolutamente todas las herramientas de administración de todos los servicios, de haber aprendido cuáles son las configuraciones por defecto y cómo fortificar el entorno y, si puedes, de evitar conexiones desde Internet de cualquier visitante.
- Big Data Security Tales: ¡Vigila que tu MongoDB no le de tus datos a cualquiera! (Level 100)
- Big Data Security Tales: Cómo funcionan las MongoDB Injection
- Big Data Security Tales: MongoDB y Cassandra (Level 101)

- Big Data Security Tales: Apache Hadoop expuesto por no configurar HUE (Level 102)
- Big Data Security Tales: Django en HUE en modo DEBUG y con Directory Listing (Level 103)
- Big Data Security Tales: Las Interfaces de acceso al HDFS
- Big Data Security Tales: Apache Amabari Default Admin
- Big Data Security Tales: WSO2 Carbon y la ayuda para el Login
- Big Data Security Tales: Los Known-Bugs en WSO2 Carbon Server
- Big Data Security Tales: Kibana & ElasticSearch objetivos del ransomware
- Big Data Security Tales: Apache CouchDB Relax... o no
- Big Data Security Tales: Riak NoSQL Database
Saludos Malignos!

3 comentarios:

Unknown dijo...

Porque no escribes un security tales de las passwords de los routers de telefonica? Asi nos reimos todos, y mucho

Unknown dijo...

JAJA #telefonica #router #ownage #inseguros #chemaalonso

Jesus S dijo...

Hola Chema. He visto que has escritor varios libros y promocionas otros en tu blog. Yo vivo fuera de España y quería saber si los venden virtualmente o algo parecido porque pagar 30 éuros se sale de mi presupuesto, lo valen sin duda pero como soy de latinoamérica no sé si hagan envíos y el costo es elevado (con respecto al cambio de divisa entre el euro y el sol peruano, si fuera de ee.uu sería distinto). Gracias.

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares