Las distribuciones de Apache Haddop vienen con una buena cantidad de herramientas para la gestión de los repositorios de datos, pero también para la gestión de los servicios que son necesarios desplegar y administrar en una arquitectura de Big Data. Una de las herramientas para gestionar los servicios es Apache Ambari que ayuda a hacer el despliegue de los agentes, configurar los servicios y monitorizar el estado de salud de cada uno de ellos.

Por supuesto, como os podéis imaginar, tiene un interfaz de administración web que no debería estar publicado y, en el caso de que se pudiera acceder a él desde Internet, debería tener una gestión de identidades robustas. Pero no siempre es así, y en la misma página de la documentación dejan claro que el usuario y la contraseña por defecto son admin/admin.

Esto es un muy mala idea. Tener un usuario y una contraseña por defecto en cualquier software es una mala idea desde el punto de seguridad. Que además sea admin/admin deja claro que no hay políticas de seguridad desde el diseño y que a un atacante no le hace falta ni documentarse para buscarla ya que, de seguro, es una que probará cualquier herramienta automatizara ante cualquier formulario de login - no importa si es el interfaz de acceso de Apache Ambari o de cualquier otra plataforma -.

Hacer un poco de Hacking con buscadores por Shodan o Censys para encontrar los portales de administración de Apache Ambari abiertos al mundo no es demasiado complicado, pero reconocerlos mediante un Google Dork o con Bing Hacking tampoco, ya que basta con jugar con los campos de intitle e intext para sacarlos rápidamente.

Figura 4: Portal de Apache Ambari localizado a través de Google

Una vez localizados, cualquiera puede probar admin/admin y tener la capacidad de administrar remotamente todos los servicios de una arquitectura de Big Data que una empresa haya configurado.

Por supuesto, el HDFS, los volúmenes de datos, las configuraciones de replicación o los servicios de que procesan en Real Time las aplicaciones que estén funcionando sobre ellos.

Antes de poner en producción una distribución de Big Data en funcionamiento, asegúrate de localizar absolutamente todas las herramientas de administración de todos los servicios, de haber aprendido cuáles son las configuraciones por defecto y cómo fortificar el entorno y, si puedes, de evitar conexiones desde Internet de cualquier visitante.

Saludos Malignos!