开源 Prometheus 服务器和出口程序正在泄露明文密码和令牌,以及内部位置的 API 地址。
研究人员发现,在开放网络上运行 Prometheus 开源监控软件的数十万台服务器暴露了密码、令牌以及拒绝服务(DoS)和远程代码执行的机会。 作为开源可观察性工具的领导者,Prometheus 被企业广泛用于监控其应用程序和云基础设施的性能。 但它也有一个缺陷: 正如其文档中所指出的,"假定不受信任的用户可以访问 Prometheus HTTP 端点和日志。 他们可以访问数据库中包含的所有时间序列信息,以及各种操作/调试信息"。
显然,很多用户要么没有意识到 Prometheus 默认的暴露方式,要么没有意识到沿途暴露的数据的价值。 Aqua Nautilus 的研究人员利用 Shodan 发现了 4 万多个暴露的 Prometheus 服务器,以及 29.6 万多个暴露的 "输出器",该程序利用这些输出器从受监控的端点收集数据。 研究人员在这些服务器和输出器中发现了敏感数据,并发现了 "repojacking "和 DoS 攻击的机会。 Prometheus 暴露的内容 Prometheus 收集的数据给人的第一印象似乎很平淡:应用程序性能指标、与特定云工具相关的指标、CPU、内存和磁盘使用情况等。
"我们认为这只是统计数据,只是关于系统健康状况的信息。 这就是问题所在,"Aqua Nautilus 威胁情报总监 Assaf Morag 说。 莫拉格说:"我们注意到,我们实际上可以看到明文密码和令牌,以及本应隐藏的内部位置的 API 地址。 例如,他发现了一个属于捷克汽车制造商斯柯达汽车公司(Skoda Auto)的已暴露且未经验证的 Prometheus 实例,该实例暴露了该公司的一些子域以及 Docker 注册表和镜像。 除了暴露秘密,开放式 Web Prometheus 服务器和输出器还存在 DoS 风险。 例如,"/debug/pprof "端点可以帮助用户配置远程主机,大多数 Prometheus 组件都默认启用了该端点。 在测试中,研究人员证明,他们可以使端点超载,从而中断通信或直接导致亚马逊网络服务弹性计算云(AWS EC2)实例或 Kubernetes pod 崩溃。
"结果是确凿无疑的: Morag 报告说:"每次运行脚本时,我们最终都会停止虚拟机。 为了说明这种攻击场景的重要性,他开玩笑说:"我在某处看到,Kubernetes 集群在战斗机中运行。 我不认为它们会暴露在互联网上,但[这说明]我们如今在很多地方都运行着 Kubernetes。" Prometheus 中的劫持机会 用户可以通过将其离线来保护自己的 Prometheus 服务器和出口程序,或者至少添加一层身份验证来防止被窥探。 当然,还有一些专门用于降低 DoS 风险的工具。 但该平台的第三个问题就不那么容易解决了: 我们发现该平台的几个输出程序容易受到重劫持攻击。
只要开发者在 GitHub 上更改或删除了自己的账户,但没有执行命名空间退役,就有可能发生 repojacking。 攻击者只需注册开发者的旧用户名,然后在与开发者旧的合法项目相同的标题下植入恶意软件。 普罗米修斯的官方文档中提到了几个与可自由申请的用户名相关联的输出程序,这意味着任何攻击者都有可能介入并利用该漏洞执行远程代码。 Aqua Nautilus 向 Prometheus 报告了这一问题,并已得到解决。 Morag 强调说,劫持 Repojacking 的机会可能比人们意识到的要广泛得多,因此企业需要监控其所依赖的项目与访问这些项目所遵循的链接之间的任何差异。 "这并不难,"他说。 "但如果你要为数百万个开源项目做这件事,问题就来了。 如果你使用自动[扫描工具],你可能会很安全。
信息来源:https://www.darkreading.com/cloud-security/336k-prometheus-instances-exposed-dos-repojacking
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局