DoS, RCE и утечки данных: как Prometheus становится оружием

Добро пожаловать на наш форум!

Спасибо за посещение нашего сообщества. Пожалуйста, зарегистрируйтесь или войдите, чтобы получить доступ ко всем функциям.


Gibby

Автор
Команда проекта

Регистрация
Сообщений
1,645
Репутация
45
Сделок
Популярный инструмент мониторинга активно сеет хаос в IT-сетях.

4.png

Исследователи в области кибербезопасности предупреждают о рисках утечек данных и атак на серверы, использующие инструмент мониторинга Prometheus. По данным Aqua Security, сотни тысяч серверов и экспортеров Prometheus остаются открытыми для атак из-за отсутствия надлежащей аутентификации.

Анализ показал, что через такие серверы злоумышленники могут получить доступ к чувствительной информации, включая учётные данные, токены аутентификации и API-ключи. В 2021 и 2022 годах аналогичные проблемы уже выявляли специалисты JFrog и Sysdig. Открытые эндпоинты, такие как «/debug/pprof», используются для анализа памяти и процессора, но также становятся вектором атак на отказ в обслуживании (DoS).

По оценкам, около 296 тысяч Prometheus Node Exporter и более 40 тысяч серверов Prometheus доступны через интернет. Это создаёт огромную поверхность для атак, угрожая данным и сервисам. Кроме того, эндпоинт «/metrics» раскрывает информацию об API, поддоменах, Docker-реестрах и других системах, что облегчает разведку для злоумышленников.

Злоумышленники также могут инициировать множество запросов к эндпоинтам вроде «/debug/pprof/heap», перегружая процессоры и оперативную память серверов, что может привести к их отказу. Ещё одна угроза связана с использованием техники «RepoJacking», когда злоумышленники перехватывают названия удалённых или переименованных GitHub-репозиториев.

Aqua Security обнаружила, что восемь экспортеров, упомянутых в официальной документации Prometheus, уязвимы к этой атаке. Злоумышленники могут создать поддельные версии экспортеров, что приведёт к удалённому выполнению кода на системах пользователей. На данный момент эти уязвимости устранены командой безопасности Prometheus.

Организациям рекомендуется защищать серверы Prometheus, ограничивать их доступность в интернете, внедрять аутентификацию, следить за подозрительной активностью на эндпоинтах «/debug/pprof» и предотвращать атаки RepoJacking.
 
Сверху