网络安全研究人员警告称,数千台托管Prometheus监控和告警工具包的服务器面临信息泄露以及拒绝服务(DoS)和远程代码执行(RCE)攻击的风险。
“Prometheus服务器或导出器常常缺乏适当的身份验证,允许攻击者轻松收集敏感信息,如凭证和API密钥,”Aqua安全研究人员Yakir Kadkoda和Assaf Morag在一份新报告中对The Hacker News表示。
这家云安全公司还表示,用于确定堆内存使用、CPU使用等的“/debug/pprof”端点的暴露,可能成为DoS攻击的向量,使服务器无法操作。
据估计,多达296,000个Prometheus Node Exporter实例和40,300个Prometheus服务器可以通过互联网公开访问,这使得它们成为一个巨大的攻击面,可能危及数据和服务。
通过互联网暴露的Prometheus服务器泄露敏感信息,如凭证、密码、认证令牌和API密钥,这一点之前已被JFrog在2021年和Sysdig在2022年记录。
“未经认证的Prometheus服务器允许直接查询内部数据,可能暴露攻击者可以利用的秘密,以在各种组织中获得初步立足点,”研究人员说。
此外,发现“/metrics”端点不仅可以揭示内部API端点,还可以揭示子域、Docker注册表和镜像的数据——这些都是攻击者进行侦察并寻求在网络内扩大影响力的宝贵信息。
这还不是全部。对手可以向“/debug/pprof/heap”等端点发送多个同时请求,以触发CPU和内存密集型的堆剖析任务,这些任务可以压垮服务器并导致它们崩溃。
Aqua进一步指出了供应链威胁,涉及使用repojacking技术利用与已删除或重命名的GitHub仓库相关联的名称,并引入恶意第三方导出器。
具体来说,它发现Prometheus官方文档中列出的八个导出器容易受到RepoJacking攻击,从而允许攻击者重新创建具有相同名称的导出器,并托管一个恶意版本。截至2024年9月,这些问题已由Prometheus安全团队解决。
“用户如果按照文档操作,可能会无意中克隆并部署这个恶意导出器,导致他们的系统上执行远程代码,”研究人员说。
建议组织使用适当的身份验证方法保护Prometheus服务器和导出器,限制公开暴露,监控“/debug/pprof”端点是否有任何异常活动的迹象,并采取措施避免RepoJacking攻击。
消息来源:TheHackerNews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
暂无评论内容