Cyber News: New DDoS botnet goes after Hadoop enterprise servers

นักวิจัยด้านความปลอดภัยจาก NewSky Security ได้ค้นพบบอทเน็ตตัวใหม่ที่ถูกเรียกว่า "DemonBot" บน Apache Hadoop เซิร์ฟเวอร์ที่มีช่องโหว่ เพื่อเตรียมไว้ใช้โจมตีด้วย DDoS ในอนาคต บอทเน็ตดังกล่าวมีความสามารถของ C&C ด้วย ซึ่งขณะนี้พบว่ามีการติดตั้งบนเซิร์ฟเวอร์มากกว่า 70 ตัว

ผู้โจมตีจะทำการสแกนเพื่อค้นหาเซิร์ฟเวอร์ที่มีการติดตั้ง Hadoop ที่มีการใช้งานโมดูลที่ชื่อว่า "YARN" ที่มีการตั้งค่าที่ไม่ถูกต้อง (misconfiguration) YARN ซึ่งย่อมาจาก Yet Another Resource Negotiator เป็นองค์ประกอบหลักของ Apache Hadoop ซึ่งมักถูกใช้ในเครือข่ายองค์กรขนาดใหญ่หรือระบบคลาวด์ เมื่อพบเครื่องเป้าหมายบอตเน็ทจะพยายามใช้ประโยชน์ของ YARN ในการติดตั้ง "บอทเน็ต" ลงในระบบ Hadoop ที่มีช่องโหว่

ทั้งนี้จากรายงานของ Radware ที่เป็นบริษัทด้านความปลอดภัยพบว่า DemonBot กำลังเติบโตขึ้นอย่างรวดเร็วในช่วงเดือนที่ผ่านมา และพบความพยายามเพื่อค้นหา Apache Hadoop ที่มาช่องโหว่ของ YARN มากกว่า 1 ล้านครั้งต่อวัน

ที่มา : zdnet