Siber güvenlik araştırmacıları, Prometheus izleme ve uyarı araç setini barındıran binlerce sunucunun bilgi sızıntısı ve hizmet reddi (DoS) ve uzaktan kod yürütme (RCE) saldırılarına maruz kalma riski altında olduğu konusunda uyarıyor.
Aqua güvenlik araştırmacıları Yakir Kadkoda ve Assaf Morag, The Hacker News ile paylaşılan yeni bir raporda, “Genellikle uygun kimlik doğrulaması bulunmayan Prometheus sunucuları veya dışa aktarıcıları, saldırganların kimlik bilgileri ve API anahtarları gibi hassas bilgileri kolayca toplamasına izin verdi.” dedi.
Bulut güvenlik firması ayrıca yığın bellek kullanımını, CPU kullanımını ve diğerlerini belirlemek için kullanılan “/debug/pprof” uç noktalarının açığa çıkmasının DoS saldırıları için bir vektör görevi görerek sunucuları çalışmaz hale getirebileceğini söyledi.
296.000 kadar Prometheus Node Exporter örneğinin ve 40.300 Prometheus sunucusunun internet üzerinden halka açık olduğu tahmin ediliyor ve bu da onları verileri ve hizmetleri riske atabilecek devasa bir saldırı yüzeyi haline getiriyor.
Kimlik bilgileri, şifreler, kimlik doğrulama belirteçleri ve API anahtarları gibi hassas bilgilerin internete açık Prometheus sunucuları aracılığıyla sızdırılabileceği gerçeği daha önce 2021’de JFrog ve 2022’de Sysdig tarafından belgelenmişti.
Araştırmacılar, “Kimliği doğrulanmamış Prometheus sunucuları, dahili verilerin doğrudan sorgulanmasına olanak tanıyor ve potansiyel olarak saldırganların çeşitli kuruluşlarda ilk tutunma noktasını elde etmek için kullanabilecekleri sırları açığa çıkarıyor” dedi.
Buna ek olarak, “/metrics” uç noktasının yalnızca dahili API uç noktalarını değil, aynı zamanda alt alanlar, Docker kayıtları ve görüntüler hakkındaki verileri de ortaya çıkarabildiği, yani keşif yapan ve erişim alanını genişletmek isteyen bir saldırgan için tüm değerli bilgileri ortaya çıkarabildiği bulunmuştur. ağ.
Hepsi bu değil. Bir düşman, sunucuları aşırı yükleyip çökmelerine neden olabilecek CPU ve bellek yoğun yığın profili oluşturma görevlerini tetiklemek için “/debug/pprof/heap” gibi uç noktalara birden fazla eşzamanlı istek gönderebilir.
Aqua ayrıca, silinen veya yeniden adlandırılan GitHub depolarıyla ilişkili adlardan yararlanmak ve kötü niyetli üçüncü taraf ihracatçıları tanıtmak için repojacking tekniklerinin kullanılmasını içeren bir tedarik zinciri tehdidine de dikkat çekti.
Spesifik olarak, Prometheus’un resmi belgelerinde listelenen sekiz ihracatçının RepoJacking’e karşı savunmasız olduğu ve böylece bir saldırganın aynı adla bir ihracatçıyı yeniden oluşturmasına ve hileli bir sürüm barındırmasına olanak tanıdığı keşfedildi. Bu sorunlar Eylül 2024 itibarıyla Prometheus güvenlik ekibi tarafından giderildi.
Araştırmacılar, “Belgeleri takip eden şüphelenmeyen kullanıcılar, bilmeden bu kötü amaçlı dışa aktarıcıyı klonlayıp konuşlandırabilir ve bu da sistemlerinde uzaktan kod yürütülmesine yol açabilir” dedi.
Kuruluşların Prometheus sunucularını ve dışa aktarıcılarını yeterli kimlik doğrulama yöntemleriyle güvenceye alması, kamuya açık riskleri sınırlaması, “/debug/pprof” uç noktalarını herhangi bir anormal etkinlik belirtisi açısından izlemesi ve RepoJacking saldırılarından kaçınmak için gerekli adımları atması önerilir.