摘要

2018年7月7日，阿里云安全首次捕获Spark REST API的未授权RCE漏洞进行攻击的真实样本。7月9号起，阿里云平台已能默认防御此漏洞的大规模利用。

这是首次在真实攻击中发现使用“暗网”来传播恶意后门的样本，预计未来这一趋势会逐步扩大。目前全网约5000台 Spark服务器受此漏洞影响。阿里云安全监控到该类型的攻击还处于小范围尝试阶段，需要谨防后续的规模性爆发。建议受影响客户参考章节三的修复建议进行修复。

一、漏洞详情说明

Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎，是UC Berkeley AMP lab(加州大学伯克利分校的AMP实验室)所开源的类Hadoop MapReduce的通用并行框架。为了让使用者能够方便的控制系统进行计算和查看任务结果，Spark也提供了 WEB UI图形化界面和相应的 REST API来方便用户操作。

Spark作为大数据时代的”计算引擎”，一旦被攻破，企业的核心数据资产、计算能力、用户敏感数据都将被攻击者窃取；更进一步的，由于Spark自身的分布式特性，一个攻击点的攻破可能导致整个集群的沦陷。Spark权限设置不当，可能导致攻击者无需认证即可通过该 REST API来操作Spark创建任务、删除任务、查看任务结果等，从而最终获得执行任意指令的能力。

我们还原了攻击者的攻击步骤：

1. 攻击者通过web扫描的方式发现了一台Spark webui服务
2. 构造攻击指令，并通过6066端口发送到该服务器的REST API

```