Le recenti scoperte nel campo della sicurezza informatica evidenziano una grave vulnerabilità nei server che ospitano Prometheus, un toolkit di monitoraggio e allerta ampiamente utilizzato. Migliaia di questi server sono esposti online, rendendoli suscettibili a perdite di dati sensibili e attacchi di denial-of-service (DoS) e di esecuzione di codice in remoto (RCE).
Esposizione degli endpoint
L'esposizione di endpoint "/debug/pprof" utilizzati per monitorare l'uso della memoria heap e della CPU può essere sfruttata per attacchi DoS, rendendo i server inoperativi. Si stima che circa 296.000 istanze di Prometheus Node Exporter e 40.300 server Prometheus siano accessibili pubblicamente su internet, creando un enorme vettore di attacco che potrebbe mettere a rischio dati e servizi.
Le informazioni sensibili che possono trapelare attraverso questi server Prometheus esposti includono credenziali, password, token di autenticazione e chiavi API. Queste problematiche erano già state identificate in precedenza da JFrog nel 2021 e da Sysdig nel 2022. I server Prometheus non autenticati consentono la query diretta dei dati interni, potenzialmente esponendo segreti che gli attaccanti possono sfruttare per ottenere un punto d'appoggio iniziale in varie organizzazioni.
Vulnerabilità dell'endpoint "/metrics"
Inoltre, è emerso che l'endpoint "/metrics" non solo può rivelare gli endpoint API interni, ma anche dati su sottodomini, registri Docker e immagini, tutte informazioni preziose per un attaccante che sta conducendo attività di ricognizione per espandere la sua portata all'interno della rete. Un avversario potrebbe anche inviare richieste simultanee a endpoint come "/debug/pprof/heap" per attivare attività di profilazione della memoria che possono sovraccaricare i server fino a farli collassare.
Minaccia alla catena di fornitura
Aqua ha inoltre evidenziato una minaccia alla catena di fornitura che coinvolge tecniche di repojacking, utilizzando nomi associati a repository GitHub eliminati o rinominati per introdurre esportatori di terze parti malevoli. È stato scoperto che otto esportatori elencati nella documentazione ufficiale di Prometheus sono vulnerabili a questo tipo di attacco, consentendo agli attaccanti di ricreare un esportatore con lo stesso nome e ospitare una versione dannosa. Questi problemi sono stati affrontati dal team di sicurezza di Prometheus a settembre 2024.
Misure di mitigazione
Per mitigare queste minacce, si raccomanda alle organizzazioni di proteggere i server e gli esportatori Prometheus con metodi di autenticazione adeguati, limitare l'esposizione pubblica, monitorare gli endpoint "/debug/pprof" per segni di attività anomala e prendere provvedimenti per evitare attacchi di repojacking.