پژوهشگران امنیت سایبری هشدار دادهاند که هزاران سرور میزبان ابزار مانیتورینگ Prometheus در معرض خطر نشت اطلاعات و همچنین حملات اختلال سرویس (DoS) و اجرای کد از راه دور (RCE) قرار دارند.
یاکیر کدکودا و اساف مورگ، پژوهشگران امنیتی شرکت Aqua، در گزارشی که با سایت The Hacker News به اشتراک گذاشته شدهاند:
«سرورهای Prometheus یا اکسپرترهای آن، که اغلب فاقد احراز هویت مناسب هستند، به مهاجمان اجازه میدهند اطلاعات حساسی مانند اعتبارنامهها و کلیدهای API را به راحتی جمعآوری کنند.»
این شرکت امنیت ابری همچنین اشاره کرد که افشای نقاط پایانی “/debug/pprof”، که برای بررسی مصرف حافظه پشته، استفاده CPU و موارد دیگر به کار میرود، میتواند بهعنوان بردار حمله برای اجرای حملات DoS عمل کرده و سرورها را از کار بیندازد.
برآوردها نشان میدهد که حدود ۲۹۶,۰۰۰ نمونه از Prometheus Node Exporter و ۴۰,۳۰۰ سرور Prometheus بهصورت عمومی از طریق اینترنت قابل دسترسی هستند و این موضوع سطح حملات بزرگی ایجاد میکند که میتواند دادهها و خدمات را در معرض خطر قرار دهد.
این موضوع که اطلاعات حساس مانند اعتبارنامهها، رمزهای عبور، توکنهای احراز هویت و کلیدهای API میتواند از طریق سرورهای Prometheus نشت پیدا کند، پیشتر توسط JFrog در سال ۲۰۲۱ و Sysdig در سال ۲۰۲۲ مستند شده بود.
پژوهشگران گفتند: «سرورهای Prometheus بدون احراز هویت، امکان پرسوجوی مستقیم دادههای داخلی را فراهم میکنند و این موضوع میتواند اسراری را افشا کند که مهاجمان میتوانند برای دستیابی اولیه به سازمانهای مختلف از آنها سوءاستفاده کنند.»
علاوه بر این، مشخص شده است که نقطه پایانی “/metrics” نه تنها میتواند نقاط پایانی API داخلی را افشا کند، بلکه اطلاعاتی در مورد زیر دامنهها، رجیستریهای Docker و ایمیجها نیز ارائه میدهد؛ دادههایی ارزشمند برای مهاجمانی که در حال شناسایی و تلاش برای گسترش دسترسی خود به شبکه هستند.
این همه ماجرا نیست. یک مهاجم میتواند درخواستهای همزمان متعددی به end pointهایی مانند “/debug/pprof/heap” ارسال کند تا وظایف پروفایلگیری حافظه استک که نیازمند مصرف بالای CPU و حافظه است را فعال کرده و سرورها را تحت فشار قرار داده و باعث از کار افتادن آنها شود.
Aqua همچنین به یک تهدید زنجیره تأمین اشاره کرد که شامل استفاده از تکنیک RepoJacking برای سوءاستفاده از نام مخازن حذفشده یا تغییر نامیافته در GitHub است، بهطوری که مهاجمان بتوانند اکسپرترهای مخرب ثالث را معرفی کنند.
این شرکت بهطور خاص دریافت که هشت اکسپرتر که در مستندات رسمی Prometheus فهرست شدهاند، به RepoJacking آسیبپذیر هستند و به مهاجم اجازه میدهند اکسپرتری با همان نام ایجاد کرده و نسخهای مخرب را میزبانی کنند. این مشکلات از سپتامبر ۲۰۲۴ توسط تیم امنیتی Prometheus رفع شده است.
پژوهشگران گفتند: «کاربران ناآگاه که مستندات را دنبال میکنند، ممکن است ناخواسته این اکسپرتر مخرب را کلون کرده و اجرا کنند و این موضوع منجر به اجرای کد از راه دور در سیستمهای آنها میشود.»
سازمانها توصیه میشوند که با استفاده از روشهای احراز هویت مناسب، سرورهای Prometheus و اکسپرترهای آن را ایمن کنند، دسترسی عمومی را محدود کنند، نقاط پایانی “/debug/pprof” را برای هرگونه فعالیت غیرعادی نظارت کنند و اقداماتی برای جلوگیری از حملات RepoJacking انجام دهند.
منبع : https://thehackernews.com/2024/12/296000-prometheus-instances-exposed.html
