Los investigadores de ciberseguridad advierten que miles de servidores que alojan el kit de herramientas de alerta y monitoreo de Prometheus corren el riesgo de sufrir fugas de información y exposición a ataques de denegación de servicio (DoS), así como de ejecución remota de código (RCE).
“Los servidores o exportadores de Prometheus, que a menudo carecen de una autenticación adecuada, permitieron a los atacantes recopilar fácilmente información confidencial, como credenciales y claves API”, dijeron los investigadores de seguridad de Aqua, Yakir Kadkoda y Assaf Morag, en un nuevo informe compartido con The Hacker News.
La firma de seguridad en la nube también dijo que la exposición de los puntos finales “/debug/pprof” utilizados para determinar el uso de la memoria dinámica, el uso de la CPU y otros, podría servir como vector para ataques DoS, dejando los servidores inoperables.
Se estima que hasta 296.000 instancias de Prometheus Node Exporter y 40.300 servidores Prometheus son de acceso público a través de Internet, lo que los convierte en una enorme superficie de ataque que podría poner en riesgo datos y servicios.
El hecho de que información confidencial, como credenciales, contraseñas, tokens de autenticación y claves API, pueda filtrarse a través de servidores Prometheus expuestos a Internet ha sido documentado previamente por JFrog en 2021 y Sysdig en 2022.
“Los servidores Prometheus no autenticados permiten la consulta directa de datos internos, exponiendo potencialmente secretos que los atacantes pueden explotar para ganar un punto de apoyo inicial en varias organizaciones”, dijeron los investigadores.
Además, se ha descubierto que el punto final “/metrics” no solo puede revelar puntos finales API internos, sino también datos sobre subdominios, registros Docker e imágenes: toda información valiosa para un atacante que realiza un reconocimiento y busca ampliar su alcance dentro de la red.
Eso no es todo. Un adversario podría enviar múltiples solicitudes simultáneas a puntos finales como “/debug/pprof/heap” para activar tareas de creación de perfiles de montón que consumen mucha memoria y CPU y que pueden saturar los servidores y provocar que colapsen.
Aqua destacó además una amenaza a la cadena de suministro que implica el uso de técnicas de repojacking para aprovechar el nombre asociado con repositorios de GitHub eliminados o renombrados e introducir exportadores externos maliciosos.
Específicamente, descubrió que ocho exportadores enumerados en la documentación oficial de Prometheus son vulnerables a RepoJacking, lo que permite a un atacante recrear un exportador con el mismo nombre y alojar una versión no autorizada. Desde entonces, estos problemas han sido abordados por el equipo de seguridad de Prometheus a partir de septiembre de 2024.
“Los usuarios desprevenidos que sigan la documentación podrían clonar e implementar sin saberlo este exportador malicioso, lo que llevaría a la ejecución remota de código en sus sistemas”, dijeron los investigadores.
Se recomienda a las organizaciones proteger los servidores y exportadores de Prometheus con métodos de autenticación adecuados, limitar la exposición pública, monitorear los puntos finales “/debug/pprof” para detectar cualquier signo de actividad anómala y tomar medidas para evitar ataques de RepoJacking.
