Le recenti scoperte nel campo della sicurezza informatica evidenziano una grave vulnerabilità nei server che ospitano Prometheus, un toolkit di monitoraggio e allerta ampiamente utilizzato. Migliaia di questi server sono esposti online, rendendoli suscettibili a perdite di dati sensibili e attacchi di denial-of-service (DoS) e di esecuzione di codice in remoto (RCE). Questa situazione è stata resa nota dai ricercatori di Aqua Security, che hanno sottolineato come molti server Prometheus, spesso privi di opportune misure di autenticazione, permettano agli attaccanti di raccogliere facilmente informazioni sensibili come credenziali e chiavi API.

Esposizione degli endpoint

L'esposizione di endpoint "/debug/pprof" utilizzati per monitorare l'uso della memoria heap e della CPU può essere sfruttata per attacchi DoS, rendendo i server inoperativi. Si stima che circa 296.000 istanze di Prometheus Node Exporter e 40.300 server Prometheus siano accessibili pubblicamente su internet, creando un enorme vettore di attacco che potrebbe mettere a rischio dati e servizi.

Le informazioni sensibili che possono trapelare attraverso questi server Prometheus esposti includono credenziali, password, token di autenticazione e chiavi API. Queste problematiche erano già state identificate in precedenza da JFrog nel 2021 e da Sysdig nel 2022. I server Prometheus non autenticati consentono la query diretta dei dati interni, potenzialmente esponendo segreti che gli attaccanti possono sfruttare per ottenere un punto d'appoggio iniziale in varie organizzazioni.

Vulnerabilità dell'endpoint "/metrics"

Inoltre, è emerso che l'endpoint "/metrics" non solo può rivelare gli endpoint API interni, ma anche dati su sottodomini, registri Docker e immagini, tutte informazioni preziose per un attaccante che sta conducendo attività di ricognizione per espandere la sua portata all'interno della rete. Un avversario potrebbe anche inviare richieste simultanee a endpoint come "/debug/pprof/heap" per attivare attività di profilazione della memoria che possono sovraccaricare i server fino a farli collassare.

Minaccia alla catena di fornitura

Aqua ha inoltre evidenziato una minaccia alla catena di fornitura che coinvolge tecniche di repojacking, utilizzando nomi associati a repository GitHub eliminati o rinominati per introdurre esportatori di terze parti malevoli. È stato scoperto che otto esportatori elencati nella documentazione ufficiale di Prometheus sono vulnerabili a questo tipo di attacco, consentendo agli attaccanti di ricreare un esportatore con lo stesso nome e ospitare una versione dannosa. Questi problemi sono stati affrontati dal team di sicurezza di Prometheus a settembre 2024.

Misure di mitigazione

Per mitigare queste minacce, si raccomanda alle organizzazioni di proteggere i server e gli esportatori Prometheus con metodi di autenticazione adeguati, limitare l'esposizione pubblica, monitorare gli endpoint "/debug/pprof" per segni di attività anomala e prendere provvedimenti per evitare attacchi di repojacking.