Araştırma, Prometheus’taki açık sunuculardan bilgilerin ifşa edilmesi, pprof uç noktalarından kaynaklanan DoS riskleri ve veri ihlallerine, sistem kesintilerine ve yetkisiz erişime yol açabilecek olası kod yürütme tehditleri dahil olmak üzere güvenlik açıklarını belirledi.
Savunmasız Prometheus sunucuları, kötü niyetli dışa aktarıcıların terk edilmiş veya yeniden adlandırılmış GitHub depolarına girmesine olanak tanıyan kritik bir “RepoJacking” güvenlik açığını da içeren saldırganlar tarafından internet riskinden yararlanmaya maruz kalır.
Güvenilmeyen kullanıcılar, kimlik doğrulama desteğine rağmen Prometheus sunucu bilgilerini, günlüklerini ve hata ayıklama ayrıntılarını görüntüleyebilir. Potansiyel bir güvenlik riski olmasına rağmen, uygulayıcıların Prometheus sunucularını genellikle kimlik doğrulaması olmadan ifşa edip etmediği belli değil.
Shodan analizi, 336.000’den fazla internete açık Prometheus sunucusu ve ihracatçısını tespit etti ve bu sunucuların yetkisiz erişime ve istismara karşı potansiyel olarak savunmasız kalmasına neden oldu.
2024 MITRE ATT&CK Değerlendirme Sonuçları KOBİ’ler ve MSP’ler içins -> Ücretsiz Kılavuzu İndir
Promtheus sunucuları ve dışa aktarıcıları sık sık açığa çıkıyor ve araştırmacılar bu riskin altını çizdiği için hassas sırların yanlışlıkla ifşa edilmesine yol açıyor, ancak açığa çıkan örneklerin sayısı hala önemli düzeyde ve önemli bir güvenlik tehdidi oluşturuyor.
Kimliği doğrulanmamış Prometheus sunucuları ve dışa aktarıcıları dahili verileri açığa çıkararak saldırganların kimlik bilgileri ve API anahtarları gibi hassas bilgileri sorgulamasına ve çıkarmasına olanak tanır ve potansiyel olarak kurumsal güvenliği tehlikeye atar.
Açıkta kalan Node Exporter ve Prometheus ölçüm uç noktaları, dahili API uç noktaları, alt alanlar, Docker kayıtları ve görüntüler dahil olmak üzere hassas bilgileri sızdırarak saldırı yüzeyini genişletebilir ve saldırganların sistemlere ve verilere yetkisiz erişim elde etmesine olanak tanıyabilir.
Prometheus bileşenleri ve bunların performans profili oluşturma için Go pprof paketini kullanmaları; http/pprof paketi, Prometheus sunucusu ve düğüm aktarıcısında gösterildiği gibi, profil oluşturma verilerine HTTP aracılığıyla erişim için bir /debug/pprof uç noktası sağlar.
Yanlış yapılandırılmış Prometheus sunucuları ve dışa aktarıcıları, varsayılan olarak etkinleştirilmiş /debug/pprof uç noktası aracılığıyla hassas bilgileri açığa çıkarır; burada saldırganlar, yığın profillerine, izlere ve diğer sistem verilerine erişmek ve bunları analiz etmek için bu güvenlik açığından yararlanabilir ve bu da potansiyel olarak yetkisiz erişime ve kontrole yol açabilir.
Prometheus bileşenlerinde ve Node Exporter’da açığa çıkan /debug/pprof uç noktası, Hizmet Reddi (DoS) saldırılarına karşı savunmasızdır.
Saldırganlar bu güvenlik açığından yararlanarak belirli uç noktalara birden fazla istek göndererek sunucunun kaynaklarını aşırı yükleyebilir ve performansın düşmesine veya hizmet kesintilerine neden olabilir.
Ana bilgisayarlar veya Kubernetes bölmeleri üzerindeki Node Exporter dağıtımları, /debug/pprof uç noktasını hedef alan DoS saldırılarına karşı savunmasızdır. Başarılı saldırılar, ana bilgisayarın yanıt vermemesine, operasyonel yükün artmasına, küme performansının düşmesine ve kaynakların tükenmesine neden olabilir.
Prometheus /debug/pprof uç noktası, kamuya açık hale getirildiğinde önemli bir güvenlik riski oluşturarak saldırganların DoS saldırıları başlatmasına ve potansiyel olarak temeldeki ana bilgisayarı tehlikeye atmasına olanak tanır.
RepoJacking, saldırganların resmi belgelerde atıfta bulunulan GitHub depolarını ele geçirmesine olanak tanıyarak Prometheus dışa aktarıcılarındaki güvenlik açıklarından yararlanıyor; bu da meşru dışa aktarıcıları kötü amaçlı sürümlerle değiştirmelerine olanak tanıyor ve şüphelenmeyen kullanıcıların sistemlerinde uzaktan kod yürütülmesine yol açıyor.
AquaSec’e göre GitHub yönlendirme güvenlik açığı, saldırganların potansiyel olarak kullanıcı adlarını ele geçirmesine ve kötü niyetli dışa aktarıcıları barındırmasına olanak tanıyarak kullanıcıları güvenliği ihlal edilmiş sürümlere yönlendiriyor.
Kimliği doğrulanmamış erişim de dahil olmak üzere Prometheus’taki güvenlik açıkları hassas bilgileri açığa çıkarabilir ve DoS saldırılarına veya kod yürütülmesine yol açabilir.
Azaltıcı önlemler arasında güçlü kimlik doğrulama, harici maruziyetin sınırlandırılması, hata ayıklama uç noktalarının güvenliğinin sağlanması, kaynak sınırlamaları ve tedarik zinciri saldırılarını önlemek için açık kaynak bağlantılarının doğrulanması yer alır.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin