Los investigadores de ciberseguridad han identificado un nuevo ataque que aprovecha las configuraciones err\u00f3neas en Apache Hadoop y Flink para implementar mineros de criptomonedas en entornos espec\u00edficos.<\/p>\n
“Este ataque es particularmente intrigante debido al uso por parte del atacante de empaquetadores y rootkits para ocultar el malware”, dijeron los investigadores de seguridad de Aqua, Nitzan Yaakov y Assaf Morag. dicho<\/a> en un an\u00e1lisis publicado a principios de esta semana. “El malware elimina el contenido de directorios espec\u00edficos y modifica las configuraciones del sistema para evadir la detecci\u00f3n”.<\/p>\n La cadena de infecci\u00f3n dirigida a Hadoop aprovecha una mala configuraci\u00f3n en YARN (Yet Another Resource Negotiator) Administrador de recursos<\/a>que es responsable de rastrear los recursos en un cl\u00faster y programar aplicaciones.<\/p>\n Espec\u00edficamente, la configuraci\u00f3n incorrecta puede ser aprovechada por un actor de amenaza remoto no autenticado para ejecutar c\u00f3digo arbitrario mediante una solicitud HTTP dise\u00f1ada, sujeta a los privilegios del usuario en el nodo donde se ejecuta el c\u00f3digo.<\/p>\n Los ataques dirigidos a Apache Flink, asimismo, apuntan a una configuraci\u00f3n incorrecta que permite a un atacante remoto lograr la ejecuci\u00f3n de c\u00f3digo sin ning\u00fan tipo de autenticaci\u00f3n.<\/p>\n Estas configuraciones err\u00f3neas no son novedosas y han sido explotadas en el pasado por grupos con motivaci\u00f3n financiera como TeamTNT, conocido por su historial de apuntar a entornos Docker y Kubernetes con el prop\u00f3sito de criptojacking y otras actividades maliciosas.<\/p>\n Pero lo que hace que el \u00faltimo conjunto de ataques sea digno de menci\u00f3n es el uso de rootkits para ocultar los procesos de miner\u00eda de criptomonedas despu\u00e9s de obtener un punto de apoyo inicial en las aplicaciones Hadoop y Flink.<\/p>\n “El atacante env\u00eda una solicitud no autenticada para implementar una nueva aplicaci\u00f3n”, explicaron los investigadores. “El atacante puede ejecutar un c\u00f3digo remoto enviando una solicitud POST a YARN, solicitando iniciar la nueva aplicaci\u00f3n con el comando del atacante”.<\/p>\n El comando est\u00e1 dise\u00f1ado espec\u00edficamente para borrar todo el contenido existente del directorio \/tmp, recuperar un archivo llamado “dca” de un servidor remoto y ejecutarlo, seguido de eliminar todos los archivos en el directorio \/tmp una vez m\u00e1s.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Criptomineros-apuntan-a-Apache-Hadoop-y-Flink-mal-configurados-con.jpg\")
<\/a><\/center><\/div>\n