Plus de 300 000 instances Prometheus exposées : fuite d’informations d’identification et de clés API en ligne
Les chercheurs en cybersécurité avertissent que des milliers de serveurs hébergeant la boîte à outils de surveillance et d’alerte Prometheus risquent de subir des fuites d’informations et d’être exposés à des attaques par déni de service (DoS) ainsi qu’à des attaques d’exécution de code à distance (RCE).
« Les serveurs ou exportateurs Prometheus , souvent dépourvus d’authentification appropriée, permettaient aux attaquants de collecter facilement des informations sensibles, telles que des informations d’identification et des clés API », ont déclaré les chercheurs en sécurité d’Aqua Yakir Kadkoda et Assaf Morag dans un nouveau rapport partagé avec The Hacker News.
L’entreprise de sécurité cloud a également déclaré que l’exposition des points de terminaison « /debug/pprof » utilisés pour déterminer l’utilisation de la mémoire du tas, l’utilisation du processeur et autres, pourrait servir de vecteur pour les attaques DoS, rendant les serveurs inutilisables.
On estime que pas moins de 296 000 instances Prometheus Node Exporter et 40 300 serveurs Prometheus sont accessibles au public sur Internet, ce qui en fait une surface d’attaque énorme qui pourrait mettre en danger les données et les services.
Le fait que des informations sensibles, telles que les informations d’identification, les mots de passe, les jetons d’authentification et les clés API, puissent être divulguées via des serveurs Prometheus exposés sur Internet a déjà été documenté par JFrog en 2021 et Sysdig en 2022.
« Les serveurs Prometheus non authentifiés permettent d’interroger directement les données internes, exposant potentiellement des secrets que les attaquants peuvent exploiter pour prendre pied dans diverses organisations », ont déclaré les chercheurs.
/>De plus, il a été découvert que le point de terminaison « /metrics » peut non seulement révéler des points de terminaison d’API internes, mais également des données sur les sous-domaines, les registres Docker et les images – toutes des informations précieuses pour un attaquant effectuant une reconnaissance et cherchant à étendre sa portée au sein du réseau.
Ce n’est pas tout. Un adversaire pourrait envoyer plusieurs requêtes simultanées à des points de terminaison tels que « /debug/pprof/heap » pour déclencher des tâches de profilage de tas gourmandes en ressources CPU et mémoire qui peuvent surcharger les serveurs et les faire planter.
Aqua a également évoqué une menace sur la chaîne d’approvisionnement qui implique l’utilisation de techniques de repojacking pour exploiter le nom associé aux référentiels GitHub supprimés ou renommés et introduire des exportateurs tiers malveillants.
Plus précisément, il a été découvert que huit exportateurs répertoriés dans la documentation officielle de Prometheus sont vulnérables au RepoJacking , ce qui permet à un attaquant de recréer un exportateur portant le même nom et d’héberger une version malveillante. Ces problèmes ont depuis été résolus par l’équipe de sécurité de Prometheus en septembre 2024.
« Les utilisateurs sans méfiance qui suivent la documentation pourraient cloner et déployer sans le savoir cet exportateur malveillant, conduisant à l’exécution de code à distance sur leurs systèmes », ont déclaré les chercheurs.
Il est recommandé aux organisations de sécuriser les serveurs et les exportateurs Prometheus avec des méthodes d’authentification adéquates, de limiter l’exposition publique, de surveiller les points de terminaison « /debug/pprof » pour détecter tout signe d’activité anormale et de prendre des mesures pour éviter les attaques RepoJacking.