超 30 万 Prometheus 服务器暴露：凭证和 API 密钥在线泄露

网络安全研究人员警告称，数千台托管Prometheus监控和告警工具包的服务器面临信息泄露以及拒绝服务（DoS）和远程代码执行（RCE）攻击的风险。

“Prometheus服务器或导出器常常缺乏适当的身份验证，允许攻击者轻松收集敏感信息，如凭证和API密钥，”Aqua安全研究人员Yakir Kadkoda和Assaf Morag在一份新报告中对The Hacker News表示。

这家云安全公司还表示，用于确定堆内存使用、CPU使用等的“/debug/pprof”端点的暴露，可能成为DoS攻击的向量，使服务器无法操作。

据估计，多达296,000个Prometheus Node Exporter实例和40,300个Prometheus服务器可以通过互联网公开访问，这使得它们成为一个巨大的攻击面，可能危及数据和服务。

通过互联网暴露的Prometheus服务器泄露敏感信息，如凭证、密码、认证令牌和API密钥，这一点之前已被JFrog在2021年和Sysdig在2022年记录。

“未经认证的Prometheus服务器允许直接查询内部数据，可能暴露攻击者可以利用的秘密，以在各种组织中获得初步立足点，”研究人员说。

此外，发现“/metrics”端点不仅可以揭示内部API端点，还可以揭示子域、Docker注册表和镜像的数据——这些都是攻击者进行侦察并寻求在网络内扩大影响力的宝贵信息。

这还不是全部。对手可以向“/debug/pprof/heap”等端点发送多个同时请求，以触发CPU和内存密集型的堆剖析任务，这些任务可以压垮服务器并导致它们崩溃。

Aqua进一步指出了供应链威胁，涉及使用repojacking技术利用与已删除或重命名的GitHub仓库相关联的名称，并引入恶意第三方导出器。

具体来说，它发现Prometheus官方文档中列出的八个导出器容易受到RepoJacking攻击，从而允许攻击者重新创建具有相同名称的导出器，并托管一个恶意版本。截至2024年9月，这些问题已由Prometheus安全团队解决。

“用户如果按照文档操作，可能会无意中克隆并部署这个恶意导出器，导致他们的系统上执行远程代码，”研究人员说。

建议组织使用适当的身份验证方法保护Prometheus服务器和导出器，限制公开暴露，监控“/debug/pprof”端点是否有任何异常活动的迹象，并采取措施避免RepoJacking攻击。