Новости DoS, RCE и утечки данных: как Prometheus становится оружием хакеров

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022
Популярный инструмент мониторинга активно сеет хаос в IT-сетях.


su04g9xqrqc63z6ulv0qgob9x7q40452.jpg


Исследователи в области кибербезопасности предупреждают о рисках утечек данных и атак на серверы, использующие инструмент мониторинга Prometheus. Для просмотра ссылки Войди или Зарегистрируйся Aqua Security, сотни тысяч серверов и экспортеров Prometheus остаются открытыми для атак из-за отсутствия надлежащей аутентификации.

Анализ показал, что через такие серверы злоумышленники могут получить доступ к чувствительной информации, включая учётные данные, токены аутентификации и API-ключи. В 2021 и 2022 годах аналогичные проблемы уже выявляли специалисты JFrog и Sysdig. Открытые эндпоинты, такие как «/debug/pprof», используются для анализа памяти и процессора, но также становятся вектором атак на отказ в обслуживании ( DoS ).

По оценкам, около 296 тысяч Prometheus Node Exporter и более 40 тысяч серверов Prometheus доступны через интернет. Это создаёт огромную поверхность для атак, угрожая данным и сервисам. Кроме того, эндпоинт «/metrics» раскрывает информацию об API, поддоменах, Docker-реестрах и других системах, что облегчает разведку для злоумышленников.

Злоумышленники также могут инициировать множество запросов к эндпоинтам вроде «/debug/pprof/heap», перегружая процессоры и оперативную память серверов, что может привести к их отказу. Ещё одна угроза связана с использованием техники «RepoJacking» , когда злоумышленники перехватывают названия удалённых или переименованных GitHub-репозиториев.

Aqua Security обнаружила, что восемь экспортеров, упомянутых в официальной документации Prometheus, уязвимы к этой атаке. Злоумышленники могут создать поддельные версии экспортеров, что приведёт к удалённому выполнению кода на системах пользователей. На данный момент эти уязвимости устранены командой безопасности Prometheus.

Организациям рекомендуется защищать серверы Prometheus, ограничивать их доступность в интернете, внедрять аутентификацию, следить за подозрительной активностью на эндпоинтах «/debug/pprof» и предотвращать атаки RepoJacking.
 
Источник новости
www.securitylab.ru

Похожие темы