Preko 336.000 Prometheus servera i Exportera bilo je izloženo DoS napadima, omogućavajući napadačima da dobiju osjetljive informacije kao što su kredencijali i API ključevi.
Prometheus je skup alata za praćenje i upozorenje otvorenog koda koji je postao suštinska komponenta modernih tehnika praćenja.
Izvoznici su raspoređeni na više sistema i služe za prikupljanje metrike sa nadgledanih krajnjih tačaka , omogućavajući Prometheusu da izvuče i pohrani podatke iz sistema, aplikacija ili usluga koje ne objavljuju metriku u Prometheus formatu.
Istraživači su otkrili da su javno dostupni Prometheus serveri i izvoznici povezani s tri ozbiljna sigurnosna rizika: izlaganjem informacijama, uskraćivanjem usluge (DoS) i daljinskim izvršavanjem koda.
“Identifikovali smo alarmantan rizik od DoS napada koji proizlazi iz izlaganja krajnjih tačaka za otklanjanje grešaka pprof, koje bi, kada se iskoriste, mogle preplaviti i srušiti Prometheus servere, Kubernetes podove i druge hostove”, rekli su istraživači Aqua sigurnosti u izvještaju podijeljenom za Cyber Security News.
Nalazi su pokazali da je ugroženo 40.000 Prometheus servera i više od 296.000 izvoznika sa pristupom internetu, za ukupno oko 336.000 servera.
Sigurnosni rizici povezani sa Prometheus serverima i izvoznicima
Prometheus serveri ili izvoznici uzrokuju otkrivanje informacija kada su povezani na javni internet bez autentifikacije. Takve pogrešne konfiguracije omogućavaju svakome da zatraži oznake ili metriku u izloženim okruženjima.
Napadači mogu koristiti ovaj pristup da dobiju ono što se čini beznačajnim podacima i, uz korištenje alata za tajno skeniranje, otkriju osjetljive podatke, kao što su API ključevi, vjerodajnice, lozinke i tokeni za autentifikaciju .
„Neautorizovani Prometheus serveri omogućavaju direktno ispitivanje internih podataka, potencijalno otkrivajući tajne koje napadači mogu iskoristiti da bi stekli početno uporište u različitim organizacijama“, rekli su istraživači .
U određenim slučajevima, izložena /metrics krajnja tačka Node Exporter-a može dozvoliti otkrivanje informacija.
Ova vrsta izloženosti može nenamjerno omogućiti napadačima pristup privatnim informacijama, povećati njihovu površinu napada i naučiti ih kako da koriste interne pozadinske funkcije koje nisu bile namijenjene za opću javnu upotrebu.
Dodatno, poddomene, Docker registri, slike i druge informacije o kompaniji mogu se dobiti pomoću /metrics krajnje tačke i javnih Prometheus servera.
Krajnjoj tački pprof, koja je podrazumijevano omogućena u većini Prometheus komponenti, može se pristupiti preko HTTP-a preko pogrešno konfigurisanih Prometheus servera i eksportera koji su otvoreni za internet. Pprof paket se široko koristi za profilisanje performansi.
“Izložena /debug/pprof krajnja tačka predstavlja značajne sigurnosne rizike. Iako je dizajniran da pomogne korisnicima u profilisanju udaljenih hostova, napadači ga mogu iskoristiti za izvršenje napada uskraćivanja usluge (DoS)”, rekli su istraživači.
Istraživači su primijetili da su neki izvoznici Prometheusa podložni RepoJackingu.
GitHub RepoJacking je oblik napada na lanac nabavke u kojem napadači preuzimaju kontrolu nad ovisnostima GitHub projekata ili cijelim projektom kako bi izvršili maliciozni kod na svakome ko ih koristi.
Ovo omogućava napadaču da napravi novi izvoznik sa istim imenom i ugosti lažnu verziju.
Izvor: CyberSecurityNews
