网络安全研究人员警告说,数以千计托管 Prometheus 监控和警报工具包的服务器面临信息泄露和拒绝服务(DoS)以及远程代码执行(RCE)攻击的风险。
"Aqua 安全研究人员 Yakir Kadkoda 和 Assaf Morag 在与 The Hacker News 分享的一份新报告中说:"Prometheus 服务器或输出器通常缺乏适当的身份验证,攻击者可以轻松收集敏感信息,如凭证和 API 密钥。 这家云安全公司还表示,用于确定堆内存使用率、CPU 使用率等的"/debug/pprof "端点的暴露可能成为 DoS 攻击的载体,导致服务器无法运行。
据估计,多达 296,000 个 Prometheus 节点导出器实例和 40,300 台 Prometheus 服务器可通过互联网公开访问,这使它们成为一个巨大的攻击面,可能会危及数据和服务。 2021 年的 JFrog 和 2022 年的 Sysdig 都曾记录过敏感信息(如凭证、密码、身份验证令牌和 API 密钥)可能通过互联网公开的 Prometheus 服务器泄露的事实。
"研究人员说:"未经身份验证的 Prometheus 服务器可以直接查询内部数据,可能会暴露攻击者可以利用的秘密,从而在各种组织中获得初步立足点。 此外,研究人员还发现,"/metrics "端点不仅可以揭示内部 API 端点,还可以揭示有关子域、Docker 注册表和图像的数据--对于正在进行侦查并寻求在网络中扩大影响力的攻击者来说,这些都是有价值的信息。
这还不是全部。 对手可能会向"/debug/pprof/heap "等端点同时发送多个请求,以触发CPU和内存密集型堆剖析任务,从而使服务器不堪重负,导致服务器崩溃。 Aqua 还指出了一种供应链威胁,即使用 repojacking 技术,利用与已删除或重命名的 GitHub 存储库相关的名称,引入恶意第三方输出程序。
具体来说,它发现 Prometheus 官方文档中列出的 8 个导出程序存在 RepoJacking 漏洞,从而允许攻击者重新创建具有相同名称的导出程序并托管流氓版本。 截至 2024 年 9 月,Prometheus 安全团队已经解决了这些问题。研究人员说:"不知情的用户按照文档可能会在不知情的情况下克隆和部署这种恶意导出器,从而导致在其系统上远程执行代码。 建议各组织使用适当的身份验证方法保护 Prometheus 服务器和导出器的安全,限制公开暴露,监控"/debug/pprof "端点是否有任何异常活动迹象,并采取措施避免 RepoJacking 攻击。 觉得这篇文章有趣? 请在 Twitter 和 LinkedIn 上关注我们,阅读我们发布的更多独家内容。
信息来源:https://thehackernews.com/2024/12/296000-prometheus-instances-exposed.html
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局