336.000’den fazla Prometheus sunucusu ve İhracatçı DoS saldırılarına maruz kaldı ve saldırganların kimlik bilgileri ve API anahtarları gibi hassas bilgileri ele geçirmesine olanak tanıdı.
Prometheus, modern izleme tekniklerinin önemli bir bileşeni haline gelen açık kaynaklı bir izleme ve uyarı araç setidir.
Dışa aktarıcılar birden fazla sisteme dağıtılır ve izlenen uç noktalardan ölçümler toplamaya hizmet ederek Prometheus’un ölçümleri Prometheus formatında yayınlamayan sistemlerden, uygulamalardan veya hizmetlerden veri almasına ve depolamasına olanak tanır.
Araştırmacılar, halka açık Prometheus sunucularının ve dışa aktarıcılarının üç ciddi güvenlik riskiyle ilişkili olduğunu buldu: bilgilerin açığa çıkması, hizmet reddi (DoS) ve uzaktan kod yürütme.
Aqua güvenlik araştırmacıları, Cyber Security News ile paylaşılan bir raporda şunları söyledi: “Pprof hata ayıklama uç noktalarının açığa çıkmasından kaynaklanan, kötüye kullanıldığında Prometheus sunucularını, Kubernetes pod’larını ve diğer ana bilgisayarları bunaltabilecek ve çökertebilecek endişe verici bir DoS saldırıları riski belirledik”.
2024 MITRE ATT&CK Değerlendirme Sonuçları KOBİ’ler ve MSP’ler içins -> Ücretsiz Kılavuzu İndir
Bulgular, 40.000 Prometheus sunucusunun ve internet erişimi olan 296.000’den fazla ihracatçının, toplamda yaklaşık 336.000 sunucunun risk altında olduğunu gösterdi.
Prometheus Sunucuları ve Aktarıcılarla İlişkili Güvenlik Riskleri
Prometheus sunucuları veya ihracatçıları, kimlik doğrulaması olmadan halka açık internete bağlandıklarında bilgilerin açığa çıkmasına neden olur. Bu tür yanlış yapılandırmalar, herkesin maruz kalan ortamları etiketler veya ölçümler için sorgulamasına olanak tanır.
Saldırganlar bu erişimi önemsiz gibi görünen verileri elde etmek için kullanabilir ve gizli tarama araçlarını kullanarak API anahtarları, kimlik bilgileri, şifreler ve kimlik doğrulama belirteçleri gibi hassas verileri ortaya çıkarabilir.
Araştırmacılar, “Kimliği doğrulanmamış Prometheus sunucuları, dahili verilerin doğrudan sorgulanmasına olanak tanıyarak saldırganların çeşitli kuruluşlarda ilk tutunma noktasını elde etmek için kullanabilecekleri sırları açığa çıkarma potansiyeline sahip” dedi.
Belirli durumlarda, Node Exporter’ın açığa çıkan /metrics uç noktası bilgilerin ifşa edilmesine izin verebilir.
Bu tür bir açığa çıkma, saldırganların istemeden de olsa gizli bilgilere erişmesine olanak tanıyabilir, saldırı yüzeyini artırabilir ve onlara genel kamu kullanımına yönelik olmayan dahili arka uç özelliklerinin nasıl kullanılacağını öğretebilir.
Ayrıca alt alanlar, Docker kayıtları, görüntüler ve diğer şirket bilgileri /metrics uç noktası ve genel Prometheus sunucuları kullanılarak elde edilebilir.
Prometheus bileşenlerinin çoğunda varsayılan olarak etkin olan pprof uç noktasına, yanlış yapılandırılmış Prometheus sunucuları ve internete açık dışa aktarıcılar aracılığıyla HTTP üzerinden erişilebilir. pprof paketi performans profili oluşturmak için yaygın olarak kullanılmaktadır.
“Açıkta kalan /debug/pprof uç noktası önemli güvenlik riskleri oluşturuyor. Araştırmacılar, kullanıcılara uzak ana bilgisayarların profilini çıkarmada yardımcı olmak için tasarlanmış olsa da, saldırganların Hizmet Reddi (DoS) saldırıları yürütmek için bundan yararlanabileceğini söyledi.
Araştırmacılar, bazı Prometheus ihracatçılarının RepoJacking’e duyarlı olduğunu gözlemledi.
GitHub RepoJacking, saldırganların GitHub projelerinin bağımlılıklarının veya tüm projenin kontrolünü ele geçirerek bunları kullanan herkes üzerinde kötü amaçlı kod çalıştırdığı bir tedarik zinciri saldırısı biçimidir.
Bu, saldırganın aynı adda yeni bir dışa aktarıcı oluşturmasına ve hileli bir sürüm barındırmasına olanak tanır.
Azaltma
- Prometheus sunucuları ve dışa aktarıcıları uygun kimlik doğrulama mekanizmalarıyla korunmalıdır
- Dış Maruziyeti Sınırlayın
- Hata Ayıklama Uç Noktalarını İzleyin ve Güvenli Hale Getirin
- Kaynak Tükenmesini Sınırlayın
- RepoJacking’i önlemek için Açık Kaynak Bağlantılarını inceleyin.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin