Botnet và khai thác tiền ảo chỉ là khởi đầu của cuộc tấn công vào các lỗ hổng phần mềm dữ liệu lớn

Diễn đàn - Ngày đăng : 21:19, 29/11/2018

Câu nói “sức mạnh to lớn chính là trách nhiệm lớn” là lời khuyên tuyệt vời khi Ben Parker nói với người cháu trai Peter, hay còn gọi là Người nhện. Nó thậm chí còn áp dụng nhiều hơn cho bất kỳ tổ chức nào sử dụng phần mềm nguồn mở để quản lý việc phân tích dữ liệu lớn của họ. Điều này đặc biệt đúng kể từ năm 2018, khi số lượng các lỗ hổng đáng kể đã được xác định và thông báo cho cả Hadoop và Spark, cho phép việc thực thi mã từ xa mà không cần xác thực thông qua các API REST.

Kết quả hình ảnh cho https://www.helpnetsecurity.com/2018/11/26/big-data-software-vulnerabilities/

Nhiều doanh nghiệp đã áp dụng các cách xử lý dữ liệu lớn như Hadoop và Spark để xử lý dữ liệu có giá trị và nhạy cảm. vì vậy, việc truy cập trái phép vào các hệ thống này có khả năng gây thiệt hại đáng kể. Sau đó, mạng lưới “DemonBot”, một botnet dựa trên Linux được sử dụng cho các cuộc tấn công DDoS, đã được hưởng lợi đáng kể từ việc khai thác các lỗ hổng này.

Ngoài ra, một lỗ hổng tương tự trong API Apache Spark REST chỉ được quan sát thấy trong “giai đoạn thử nghiệm quy mô nhỏ” cho đến nay, mặc dù các nhà nghiên cứu cho rằng nó có thể được sử dụng để lấy cắp các tài nguyên tính toán để giải mã.

Botnet và khai thác tiền ảo là mối đe dọa tương đối phổ biến. Chúng có thể được sử dụng để tấn công kẻ thù của bạn hoặc nhằm mục đích kiếm tiền. Chính vì vậy, chúng ta nên phát hiện và ngăn chặn chúng, vì tác động của chúng có thể rất tiêu cực, nhưng đối với hai lỗ hổng được công bố gần đây, chúng chỉ là đỉnh của tảng băng trôi.

Tại sao những lỗ hổng này tồi tệ hơn bất kỳ hoạt động nào khác của CVE?

Có một vài lý do tại sao giải thích tại sao nó chỉ là một vấn đề thời gian trước khi những lỗ hổng như vậy sẽ là ở cơ sở cho một vi phạm dữ liệu lớn:

1. Các công ty sử dụng Hadoop và Spark để phân tích dữ liệu lớn có xu hướng sử dụng nó trên một lượng lớn dữ liệu có giá trị.

2. Nhiều doanh nghiệp sử dụng Hadoop sử dụng điện toán đám mây công cộng và tài nguyên lưu trữ vì quy mô và tính linh hoạt có sẵn trong các môi trường đó. Điều đó có nghĩa là nhiều triển khai Hadoop được tiếp xúc với tất cả các rủi ro bình thường của đám mây công cộng. Do vậy, các sự cố cấu hình để lưu trữ hoặc truy cập API mở trên Internet công cộng sẽ rất phổ biến.

Các công ty nên làm gì?

Bất kỳ công ty nào sử dụng Hadoop hoặc Spark phải chắc chắn rằng họ có khả năng phát hiện và sửa chữa các lỗ hổng trong các hệ thống một cách nhanh chóng. Một cách để làm như vậy là theo dõi các yêu cầu từ REST API tới các công cụ quản lý tài nguyên của chúng khi chúng đi qua dây và phản hồi thông qua các cảnh báo hoặc phối cảnh khi phát hiện hành vi có thể cho biết việc khai thác lỗ hổng đó.

Phát hiện những khai thác này trong thời gian thực có thể là một thách thức. Nó có thể yêu cầu khả năng giải mã các yêu cầu từ kẻ tấn công, vì các yêu cầu REST API thường được truyền trong lưu lượng được mã hóa. Ngày nay, những kẻ tấn công ngày càng che giấu hành động của chúng một cách tài tình trong lưu lượng được mã hóa và việc giải mã lưu lượng mạng để phân tích là một giao thức phổ biến và ngày càng trở nên quan trọng đối với các nhóm bảo mật doanh nghiệp.

Khôi Linh, Trương Khánh Hợp, Trịnh Đình Trọng