Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Más de 300.000 instancias de Prometheus expuestas: credenciales y claves API filtradas en línea
  • Tecnología

Más de 300.000 instancias de Prometheus expuestas: credenciales y claves API filtradas en línea

teknomers 12 de Aralık de 2024 (Last updated: 12 de Aralık de 2024) 3 minutes read
Más de 300.000 instancias de Prometheus expuestas: credenciales y claves


12 de diciembre de 2024Ravie LakshmananVulnerabilidad / Seguridad en la Nube

Los investigadores de ciberseguridad advierten que miles de servidores que albergan el kit de herramientas de alerta y monitoreo de Prometheus corren el riesgo de sufrir fugas de información y exposición a ataques de denegación de servicio (DoS), así como de ejecución remota de código (RCE).

“Servidores Prometheus o exportadoresque a menudo carecen de una autenticación adecuada, permitieron a los atacantes recopilar fácilmente información confidencial, como credenciales y claves API”, afirman los investigadores de seguridad de Aqua, Yakir Kadkoda y Assaf Morag. dicho en un nuevo informe compartido con The Hacker News.

La firma de seguridad en la nube también dijo que la exposición del Puntos finales “/debug/pprof” utilizado para determinar el uso de la memoria dinámica, el uso de la CPU y otros, podría servir como vector para ataques DoS, dejando los servidores inoperables.

Ciberseguridad

Hasta 296.000 Exportador de nodos Prometheus Se estima que 40.300 servidores Prometheus son de acceso público a través de Internet, lo que los convierte en una enorme superficie de ataque que podría poner en riesgo datos y servicios.

JFrog documentó previamente en 2021 el hecho de que información confidencial, como credenciales, contraseñas, tokens de autenticación y claves API, podría filtrarse a través de servidores Prometheus expuestos a Internet. Sysdig en 2022.

“Los servidores Prometheus no autenticados permiten la consulta directa de datos internos, exponiendo potencialmente secretos que los atacantes pueden explotar para ganar un punto de apoyo inicial en varias organizaciones”, dijeron los investigadores.

Además, se ha descubierto que el punto final “/metrics” no solo puede revelar puntos finales API internos, sino también datos sobre subdominios, registros Docker e imágenes: toda información valiosa para un atacante que realiza un reconocimiento y busca ampliar su alcance dentro de la red.

Eso no es todo. Un adversario podría enviar múltiples solicitudes simultáneas a puntos finales como “/debug/pprof/heap” para activar tareas de creación de perfiles de montón que consumen mucha memoria y CPU y que pueden saturar los servidores y provocar que colapsen.

Aqua destacó además una amenaza a la cadena de suministro que implica el uso de técnicas de repojacking para aprovechar el nombre asociado con repositorios de GitHub eliminados o renombrados e introducir exportadores externos maliciosos.

Ciberseguridad

Específicamente, descubrió que ocho exportadores que figuran en Prometheus documentación oficial son vulnerables al RepoJacking, por lo que permitiendo un atacante para recrear un exportador con el mismo nombre y alojar una versión no autorizada. Desde entonces, estos problemas han sido dirigido por el equipo de seguridad de Prometheus a partir de septiembre de 2024.

“Los usuarios desprevenidos que sigan la documentación podrían clonar e implementar sin saberlo este exportador malicioso, lo que llevaría a la ejecución remota de código en sus sistemas”, dijeron los investigadores.

Se recomienda a las organizaciones proteger los servidores y exportadores de Prometheus con métodos de autenticación adecuados, limitar la exposición pública, monitorear los puntos finales “/debug/pprof” para detectar cualquier signo de actividad anómala y tomar medidas para evitar ataques de RepoJacking.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: El ManUnited con Malacia, Zirkzee y De Ligt a la caza de la victoria en la República Checa
Next: Competencia, luz verde definitiva a la ley. Autopistas, facturas, cupones de alimentos y taxis: lo que cambia

Related Stories

Climatización en canícula: ¿coche eléctrico o térmico, cuál resiste mejor?
  • Tecnología

Climatización en canícula: ¿coche eléctrico o térmico, cuál resiste mejor?

teknomers 11 de Temmuz de 2026
PlayStation y la muerte del disco: por qué el mejor
  • Tecnología

PlayStation y la muerte del disco: por qué el mejor golpe de marketing de Sony se vuelve en su contra

teknomers 11 de Temmuz de 2026
VPN de vacaciones: cómo elegir el servidor adecuado en el
  • Tecnología

VPN de vacaciones: cómo elegir el servidor adecuado en el extranjero

teknomers 11 de Temmuz de 2026

You May Have Missed

  • General

“Acusaciones absurdas…”: China y Rusia critican a EE. UU. y Reino Unido en un explosivo enfrentamiento en la ONU sobre la guerra en Irán – Teknomers Video

teknomers 11 de Temmuz de 2026
Noruega-Inglaterra: el video del gol excepcional de Andreas Schjelderup para
  • Deporte

Noruega-Inglaterra: el video del gol excepcional de Andreas Schjelderup para desbloquear los cuartos de final

teknomers 11 de Temmuz de 2026
  • Cultura

«La abuela de YouTube»: la actriz Claudette Walker ha fallecido a los 86 años

teknomers 11 de Temmuz de 2026
Climatización en canícula: ¿coche eléctrico o térmico, cuál resiste mejor?
  • Tecnología

Climatización en canícula: ¿coche eléctrico o térmico, cuál resiste mejor?

teknomers 11 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.