DoS, RCE и утечки данных: как Prometheus становится оружием хакеров

Исследователи в области кибербезопасности предупреждают о рисках утечек данных и атак на серверы, использующие инструмент мониторинга Prometheus. По данным Aqua Security, сотни тысяч серверов и экспортеров Prometheus остаются открытыми для атак из-за отсутствия надлежащей аутентификации.

Анализ показал, что через такие серверы злоумышленники могут получить доступ к чувствительной информации, включая учётные данные, токены аутентификации и API-ключи. В 2021 и 2022 годах аналогичные проблемы уже выявляли специалисты JFrog и Sysdig. Открытые эндпоинты, такие как «/debug/pprof», используются для анализа памяти и процессора, но также становятся вектором атак на отказ в обслуживании (DoS).

По оценкам, около 296 тысяч Prometheus Node Exporter и более 40 тысяч серверов Prometheus доступны через интернет. Это создаёт огромную поверхность для атак, угрожая данным и сервисам. Кроме того, эндпоинт «/metrics» раскрывает информацию об API, поддоменах, Docker-реестрах и других системах, что облегчает разведку для злоумышленников.

Злоумышленники также могут инициировать множество запросов к эндпоинтам вроде «/debug/pprof/heap», перегружая процессоры и оперативную память серверов, что может привести к их отказу. Ещё одна угроза связана с использованием техники «RepoJacking», когда злоумышленники перехватывают названия удалённых или переименованных GitHub-репозиториев.

Aqua Security обнаружила, что восемь экспортеров, упомянутых в официальной документации Prometheus, уязвимы к этой атаке. Злоумышленники могут создать поддельные версии экспортеров, что приведёт к удалённому выполнению кода на системах пользователей. На данный момент эти уязвимости устранены командой безопасности Prometheus.

Организациям рекомендуется защищать серверы Prometheus, ограничивать их доступность в интернете, внедрять аутентификацию, следить за подозрительной активностью на эндпоинтах «/debug/pprof» и предотвращать атаки RepoJacking.