云安全实战：AWS EMR漏洞挖掘与渗透测试全解析

Jordan Drysdale //

内容提要

BHIS在与客户合作审计其亚马逊云服务（AWS）基础设施时，发现了一些有趣的安全问题。我们发现通过弹性Map Reduce（EMR）应用栈存在两条进入客户虚拟私有云（VPC）的路径。其中一个让我们获得内部访问权限的漏洞是Hadoop未授权远程代码执行（RCE），该漏洞已被Apache修补。另一个更有趣的入口点是HUE界面，默认情况下允许为Web界面创建新的管理员用户。

大数据时代的安全挑战

大数据处理引擎构成了当今大型科技公司的骨干。互联网已成为数据中心的集合，似乎一心要尽可能多地收集我们的信息。这些数据被聚合、编译，然后塞入人口统计容器中，访问权被出售给希望投放广告、政治宣传和各种其他无意义内容的竞标者。

AWS EMR的安全现状

AWS上的大数据解决方案之一称为EMR——“弹性Map Reduce”。只需点击几下，任何人都可以部署自己的数据处理引擎，无论规模大小，在任何平台上为任何目的服务。

默认部署的安全风险

在标准渗透测试中，BHIS客户通常会要求进行外部网络审查和内部渗透测试。我们测试的是一个保持默认设置的EMR部署，仅对安全组进行了单一修改，允许扫描器获得完全网络访问权限。

扫描统计数据显示：

三节点集群
默认开放55个独立端口
10个混合漏洞：低/中/高/严重等级
主节点运行不支持的PHP版本5.6.40

漏洞利用细节

Hue服务启动后等待新管理员用户创建。我们添加了一个用户，Hue界面允许用各种语言设计任务并安排在集群中运行。通过创建工作流，我们可以运行C2代码。

利用步骤：

使用msfvenom生成反向bash shell
上传shell文件到HDFS存储
通过工作流播放按钮执行
获得以’yarn’用户身份运行的shell

影响范围

通过安排工作流（如每五分钟运行一次），可以危害集群中的所有工作节点。如果C2通道通过DNS连接，可能会获得返回VPC的半弹性C2通道。

发现时的暴露情况

在2018年12月最初撰写时，约有900个Hue界面暴露在互联网上。截至2019年8月20日，仍有663个实例可能易受此攻击。

安全建议

保护您的服务
阅读操作手册
聘请渗透测试公司填补漏洞
获取培训
制定事件响应计划