Los investigadores de ciberseguridad advierten que miles de servidores que albergan el kit de herramientas de alerta y monitoreo de Prometheus corren el riesgo de sufrir fugas de información y exposición a ataques de denegación de servicio (DoS), así como de ejecución remota de código (RCE).
“Servidores Prometheus o exportadoresque a menudo carecen de una autenticación adecuada, permitieron a los atacantes recopilar fácilmente información confidencial, como credenciales y claves API”, afirman los investigadores de seguridad de Aqua, Yakir Kadkoda y Assaf Morag. dicho en un nuevo informe compartido con The Hacker News.
La firma de seguridad en la nube también dijo que la exposición del Puntos finales “/debug/pprof” utilizado para determinar el uso de la memoria dinámica, el uso de la CPU y otros, podría servir como vector para ataques DoS, dejando los servidores inoperables.
Hasta 296.000 Exportador de nodos Prometheus Se estima que 40.300 servidores Prometheus son de acceso público a través de Internet, lo que los convierte en una enorme superficie de ataque que podría poner en riesgo datos y servicios.
JFrog documentó previamente en 2021 el hecho de que información confidencial, como credenciales, contraseñas, tokens de autenticación y claves API, podría filtrarse a través de servidores Prometheus expuestos a Internet. Sysdig en 2022.
“Los servidores Prometheus no autenticados permiten la consulta directa de datos internos, exponiendo potencialmente secretos que los atacantes pueden explotar para ganar un punto de apoyo inicial en varias organizaciones”, dijeron los investigadores.
Además, se ha descubierto que el punto final “/metrics” no solo puede revelar puntos finales API internos, sino también datos sobre subdominios, registros Docker e imágenes: toda información valiosa para un atacante que realiza un reconocimiento y busca ampliar su alcance dentro de la red.
Eso no es todo. Un adversario podría enviar múltiples solicitudes simultáneas a puntos finales como “/debug/pprof/heap” para activar tareas de creación de perfiles de montón que consumen mucha memoria y CPU y que pueden saturar los servidores y provocar que colapsen.
Aqua destacó además una amenaza a la cadena de suministro que implica el uso de técnicas de repojacking para aprovechar el nombre asociado con repositorios de GitHub eliminados o renombrados e introducir exportadores externos maliciosos.
Específicamente, descubrió que ocho exportadores que figuran en Prometheus documentación oficial son vulnerables al RepoJacking, por lo que permitiendo un atacante para recrear un exportador con el mismo nombre y alojar una versión no autorizada. Desde entonces, estos problemas han sido dirigido por el equipo de seguridad de Prometheus a partir de septiembre de 2024.
“Los usuarios desprevenidos que sigan la documentación podrían clonar e implementar sin saberlo este exportador malicioso, lo que llevaría a la ejecución remota de código en sus sistemas”, dijeron los investigadores.
Se recomienda a las organizaciones proteger los servidores y exportadores de Prometheus con métodos de autenticación adecuados, limitar la exposición pública, monitorear los puntos finales “/debug/pprof” para detectar cualquier signo de actividad anómala y tomar medidas para evitar ataques de RepoJacking.