Groźba ataków na serwery Prometheus: Co wiemy o problemie?
W świecie technologii niewiele zagrożeń jest tak poważnych jak luki w zabezpieczeniach popularnych narzędzi wykorzystywanych przez firmy na całym świecie. Jednym z takich przypadków jest naruszenie bezpieczeństwa serwerów wykorzystujących Prometheus – narzędzie do monitorowania i alertów, które stało się jednym z filarów infrastruktury IT. Badacze ds. cyberbezpieczeństwa ostrzegają, że dziesiątki tysięcy serwerów wciąż są narażone na wycieki informacji, ataki typu denial-of-service (DoS) oraz zdalne wykonywanie kodu (RCE).
Brak zabezpieczeń prowadzi do poważnych zagrożeń
Jak informują analitycy z Aqua Security, większość serwerów Prometheus oraz tzw. „eksporterów” nie posiada odpowiednich metod autoryzacji. W praktyce oznacza to, że cyberprzestępcy mogą z łatwością uzyskać dostęp do wrażliwych danych, takich jak poświadczenia logowania, klucze API czy inne informacje służące do zabezpieczania systemów. W nowym raporcie opublikowanym przez badaczy Yakira Kadkodę i Assafa Moraga podkreślono, że brak ochrony zwiększa ryzyko nie tylko wycieku danych, ale również pozwala na przeprowadzanie zaawansowanych ataków na organizacje korzystające z Prometheusa.
Dodatkowo ujawniono, że dostęp do punktów końcowych typu „/debug/pprof„, używanych między innymi do monitorowania pamięci czy procesora, otwiera nowe możliwości ataków DoS. Wyczerpanie zasobów serwera poprzez wielokrotne zapytania do tych punktów może doprowadzić do całkowitego zatrzymania działania systemu. Takie nadużycia mogą być szczególnie niebezpieczne w przypadku firm operujących 24/7, gdzie przestój może kosztować miliony dolarów.
Skala problemu jest ogromna
Według danych, aż 296 tysięcy instancji Prometheus Node Exporter oraz ponad 40 tysięcy serwerów Prometheus jest publicznie dostępnych w internecie. Taka ekspozycja tworzy gigantyczną powierzchnię ataku, która nie tylko naraża dane klientów, ale także otwiera możliwości dla cyberprzestępców w celu eskalacji ich działalności w sieciach firmowych. Co więcej, możliwość uzyskania dostępu do punktów końcowych „/metrics” pozwala na odkrycie wewnętrznych API, poddomen, a także rejestrów Docker i obrazów – informacji niezwykle cennych podczas działań rekonesansowych i przygotowywania bardziej zaawansowanych ataków.
Zagrożenie RepoJackingiem i eksportery złośliwego kodu
Jakby tego było mało, badania pokazały, że Prometheus jest także podatny na zagrożenia związane z RepoJackingiem. Technika ta polega na przywłaszczeniu nazw usuniętych lub zmienionych repozytoriów GitHub w celu hostowania złośliwych wersji eksporterów. W raporcie Aqua Security wskazano, że osiem eksporterów, które znajdowały się w oficjalnej dokumentacji Prometheusa, było podatnych na tego typu ataki.
Oznacza to, że użytkownicy mogą nieświadomie wdrożyć złośliwe oprogramowanie, które pozwala na zdalne wykonanie kodu na ich systemach. Chociaż problem ten został zaadresowany we wrześniu 2024 roku, incydenty tego typu pokazują, jak ważne jest dokładne weryfikowanie źródeł przed wdrożeniem jakichkolwiek komponentów oprogramowania.
Wnioski i zalecenia
Aby zredukować ryzyko związane z podatnościami Prometheusa, organizacje powinny podjąć szereg działań. Przede wszystkim, serwery i eksportery Prometheusa muszą być zabezpieczone odpowiednimi metodami uwierzytelniania. Dodatkowo należy ograniczyć ich publiczny dostęp do internetu i monitorować podejrzane aktywności na ważnych punktach końcowych, takich jak „/debug/pprof„.
Firmy nie mogą także ignorować zagrożeń związanych z RepoJackingiem – konieczne jest unikanie używania niepewnych lub podejrzanych repozytoriów. Regularne audyty kodu oraz korzystanie z narzędzi dostarczanych przez zaufane źródła mogą znacząco zmniejszyć ryzyko wdrożenia złośliwego oprogramowania w infrastrukturze.
Podsumowując, choć Prometheus oferuje wiele korzyści jako narzędzie monitorujące, brak odpowiednich zabezpieczeń może przekształcić go w źródło poważnych zagrożeń. Organizacje muszą priorytetowo traktować ochronę swoich serwerów, aby zminimalizować ryzyko cyberataków i zapewnić bezpieczeństwo swoim systemom oraz danym klientów.