Siber güvenlik araştırmacıları, Prometheus izleme ve uyarı araç setini barındıran binlerce sunucunun bilgi sızıntısı ve hizmet reddi (DoS) ve uzaktan kod yürütme (RCE) saldırılarına maruz kalma riski altında olduğu konusunda uyarıyor.
“Prometheus sunucuları veya ihracatçılarAqua güvenlik araştırmacıları Yakir Kadkoda ve Assaf Morag, “Genellikle uygun kimlik doğrulamasının eksik olması, saldırganların kimlik bilgileri ve API anahtarları gibi hassas bilgileri kolayca toplamasına olanak tanıyor” dedi. söz konusu The Hacker News ile paylaşılan yeni bir raporda.
Bulut güvenlik firması ayrıca, “/debug/pprof” uç noktaları Yığın bellek kullanımını, CPU kullanımını ve diğerlerini belirlemek için kullanılan veriler, DoS saldırıları için bir vektör görevi görerek sunucuları çalışmaz hale getirebilir.
296.000 kadar Prometheus Düğüm Aktarıcı Örneklerin ve 40.300 Prometheus sunucusunun internet üzerinden herkese açık olduğu tahmin ediliyor, bu da onları verileri ve hizmetleri riske atabilecek devasa bir saldırı yüzeyi haline getiriyor.
Kimlik bilgileri, şifreler, kimlik doğrulama belirteçleri ve API anahtarları gibi hassas bilgilerin internete açık Prometheus sunucuları aracılığıyla sızdırılabileceği gerçeği daha önce 2021’de JFrog tarafından belgelenmişti ve Sistem 2022’de.
Araştırmacılar, “Kimliği doğrulanmamış Prometheus sunucuları, dahili verilerin doğrudan sorgulanmasına olanak tanıyor ve potansiyel olarak saldırganların çeşitli kuruluşlarda ilk tutunma noktasını elde etmek için kullanabilecekleri sırları açığa çıkarıyor” dedi.
Buna ek olarak, “/metrics” uç noktasının yalnızca dahili API uç noktalarını değil, aynı zamanda alt alanlar, Docker kayıtları ve görüntüler hakkındaki verileri de ortaya çıkarabildiği, yani keşif yapan ve erişim alanını genişletmek isteyen bir saldırgan için tüm değerli bilgileri ortaya çıkarabildiği bulunmuştur. ağ.
Hepsi bu değil. Bir düşman, sunucuları aşırı yükleyip çökmelerine neden olabilecek CPU ve bellek yoğun yığın profili oluşturma görevlerini tetiklemek için “/debug/pprof/heap” gibi uç noktalara birden fazla eşzamanlı istek gönderebilir.
Aqua ayrıca, silinen veya yeniden adlandırılan GitHub depolarıyla ilişkili adlardan yararlanmak ve kötü niyetli üçüncü taraf ihracatçıları tanıtmak için repojacking tekniklerinin kullanılmasını içeren bir tedarik zinciri tehdidine de dikkat çekti.
Spesifik olarak, Prometheus’un listesinde sekiz ihracatçının listelendiği keşfedildi. resmi belgeler RepoJacking’e karşı savunmasızdır, dolayısıyla izin vermek Bir saldırganın aynı adda bir dışa aktarıcıyı yeniden oluşturması ve hileli bir sürüm barındırması. Bu sorunlar o zamandan beri adreslenmiş Eylül 2024 itibarıyla Prometheus güvenlik ekibi tarafından.
Araştırmacılar, “Belgeleri takip eden şüphelenmeyen kullanıcılar, bilmeden bu kötü amaçlı dışa aktarıcıyı klonlayıp konuşlandırabilir ve bu da sistemlerinde uzaktan kod yürütülmesine yol açabilir” dedi.
Kuruluşların Prometheus sunucularını ve dışa aktarıcılarını yeterli kimlik doğrulama yöntemleriyle güvenceye alması, kamuya açık riskleri sınırlaması, “/debug/pprof” uç noktalarını herhangi bir anormal etkinlik belirtisi açısından izlemesi ve RepoJacking saldırılarından kaçınmak için gerekli adımları atması önerilir.
