风险预警 Aqua 安全研究人员发出警告,超过 30 万个 Prometheus 服务器和节点暴露在互联网上,存在信息泄露、拒绝服务 (DoS) 和远程代码执行 (RCE) 攻击的风险。
Prometheus 是什么?
Prometheus 是一款开源的系统监控和警报工具包,广泛用于云原生环境。它通过 HTTP 端点收集和存储时间序列数据,并提供查询和可视化功能。
Prometheus 安全风险
- 信息泄露:
许多 Prometheus 服务器和节点缺乏身份验证机制,攻击者可以轻易访问敏感信息,例如凭据、API 密钥、内部 API 端点、子域名、Docker 镜像等。 - DoS 攻击:
Prometheus 的 /debug/pprof端点可用于 DoS 攻击,攻击者可发送大量请求导致服务器崩溃。 - 供应链攻击:
攻击者可利用 RepoJacking 技术,创建恶意第三方 exporter,诱骗用户下载和部署,从而在目标系统上执行远程代码。
Aqua 安全建议
- 身份验证:
为 Prometheus 服务器和节点配置身份验证机制,限制未经授权的访问。 - 限制暴露:
避免将 Prometheus 服务器和节点直接暴露在互联网上,可使用 VPN 或防火墙进行隔离。 - 监控流量:
监控 /debug/pprof端点的流量,及时发现异常活动。 - 安全更新:
及时更新 Prometheus 软件和相关组件,修复已知漏洞。 - 谨慎使用第三方 exporter:
仔细检查第三方 exporter 的来源和安全性,避免使用恶意 exporter。
作者点评
Prometheus 作为重要的监控工具,其安全性不容忽视。此次安全风险的披露,再次提醒我们,任何面向互联网的服务都需要加强安全防护,以防止 sensitive 信息泄露和网络攻击。
原文始发于微信公众号(技术修道场):超 30 万 Prometheus 实例暴露! 敏感信息泄露风险巨大
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论