Data storageDatabase

Dopo MongoDB, attacchi anche contro gli ambienti Hadoop

Giornalista e collaboratore di TechWeekEurope, si occupa professionalmente di IT e nuove tecnologie da oltre vent'anni e ha collaborato con le principali testate italiane di settore

Follow on: Linkedin

Sono state cancellate un centinaio di installazioni Hadoop, vulnerabili per cattive configurazioni

Dopo gli attacchi ransomware ai database MongoDB ed Elasticsearch ora è la volta delle installazioni di Hadoop che si “affacciano” online e che quindi possono essere raggiunte da hacker ostili. Anche in questo caso, come era successo per MongoDB, il problema non sta nella sicurezza di Hadoop in sé ma nella cattiva configurazione delle installazioni, che non sono state protette a dovere.

Gli attacchi alle istanze di Hadoop sono stati rilevati da vari analisti e società di sicurezza IT. Attualmente si stima che gli ambienti colpiti siano poco più di un centinaio (per la precisione 126) e che quelli vulnerabili siano 8-10 mila (la stima è di Fidelis Cybersecurity) in tutto il mondo. Fidelis ha tra l’altro segnalato che le scansioni eseguite su Internet per contattare porte 50070 usate da Hadoop hanno picchi decisamente anomali. Un controllo per questi giorni li mostra ad esempio il 6, il 15 e il 17 gennaio.

Le scansioni in corso alla porta 50070
Le scansioni in corso alla porta 50070

A differenza degli attacchi segnalati ad altri database, quelli alle installazioni Hadoop non sono per ottenere un riscatto ma solo di vandalismo. Chi riesce ad accedere al filesystem si limita a cancellarne tutti i file lasciando come “ricordo” una sola directory denominata NODATA4U_SECUREYOURSHIT.

Per evitare attacchi del genere gli esperti sconsigliano di avere installazioni Hadoop connesse direttamente a Internet. Se questo non è possibile è necessario implementare sistemi di autenticazione, che non sono attivi di default, e utilizzare sempre le versioni sicure dei protocolli di comunicazione, come in primo luogo HTTPS. Dato che molte implementazioni di Hadoop sono erogate come servizi cloud, anche i service provider devono provvedere alla protezione delle informazioni dei clienti e all’attivazione di procedure di backup e ripristino per i casi di emergenza.

La nuova epidemia di attacchi riguarda anche database CouchDB. In questo caso si tratta di “ransacking” vero e proprio, dato che gli attaccanti sottraggono le informazioni dei database attaccati e chiedono un riscatto per restituirle. Come nel caso degli attacchi precedenti, non c’è però alcuna garanzia che una restituzione avvenga davvero.

Partecipa alla nostra inchiesta: La tua azienda adotta soluzioni cloud?

… per rispondere alle altre tre domande, clicca qui…