Inloggegevens en API-sleutels lekken online

Cybersecurity-onderzoekers waarschuwen dat duizenden servers die de Prometheus monitoring- en waarschuwingstoolkit hosten het risico lopen op informatielekken en blootstelling aan Denial-of-Service (DoS) en Remote Code Execution (RCE)-aanvallen.

“Prometheus-servers of -exporteurs, die vaak de juiste authenticatie ontberen, stelden aanvallers in staat gemakkelijk gevoelige informatie te verzamelen, zoals inloggegevens en API-sleutels”, zeiden Aqua-beveiligingsonderzoekers Yakir Kadkoda en Assaf Morag in een nieuw rapport gedeeld met The Hacker News.

Het cloudbeveiligingsbedrijf zei ook dat de blootstelling van de “/debug/pprof”-eindpunten die worden gebruikt voor het bepalen van heapgeheugengebruik, CPU-gebruik en andere, zou kunnen dienen als een vector voor DoS-aanvallen, waardoor de servers onbruikbaar worden.

Er wordt geschat dat maar liefst 296.000 Prometheus Node Exporter-instanties en 40.300 Prometheus-servers openbaar toegankelijk zijn via internet, waardoor ze een enorm aanvalsoppervlak vormen dat gegevens en services in gevaar kan brengen.

Het feit dat gevoelige informatie, zoals inloggegevens, wachtwoorden, authenticatietokens en API-sleutels, kan worden gelekt via op internet blootgestelde Prometheus-servers, is eerder gedocumenteerd door JFrog in 2021 en Sysdig in 2022.

“Niet-geverifieerde Prometheus-servers maken directe bevraging van interne gegevens mogelijk, waardoor mogelijk geheimen worden blootgelegd die aanvallers kunnen misbruiken om een ​​eerste voet aan de grond te krijgen in verschillende organisaties”, aldus de onderzoekers.

Bovendien is gebleken dat het “/metrics”-eindpunt niet alleen interne API-eindpunten kan onthullen, maar ook gegevens over subdomeinen, Docker-registers en afbeeldingen – allemaal waardevolle informatie voor een aanvaller die verkenningen uitvoert en zijn bereik binnen de grenzen wil vergroten. het netwerk.

Dat is niet alles. Een tegenstander kan meerdere gelijktijdige verzoeken sturen naar eindpunten zoals “/debug/pprof/heap” om CPU- en geheugenintensieve heap-profileringstaken te activeren die de servers kunnen overweldigen en ervoor kunnen zorgen dat ze crashen.

Aqua maakte verder melding van een bedreiging voor de toeleveringsketen waarbij gebruik wordt gemaakt van repojacking-technieken om gebruik te maken van de naam die is gekoppeld aan verwijderde of hernoemde GitHub-opslagplaatsen en om kwaadwillende externe exporteurs te introduceren.

Concreet ontdekte het dat acht exporteurs die in de officiële documentatie van Prometheus worden vermeld, kwetsbaar zijn voor RepoJacking, waardoor een aanvaller een exporteur met dezelfde naam kan nabootsen en een frauduleuze versie kan hosten. Deze problemen zijn sindsdien vanaf september 2024 aangepakt door het Prometheus-beveiligingsteam.

“Nietsvermoedende gebruikers die de documentatie volgen, kunnen deze kwaadaardige exporteur onbewust klonen en inzetten, wat leidt tot het op afstand uitvoeren van code op hun systemen”, aldus de onderzoekers.

Organisaties wordt aangeraden om Prometheus-servers en exporteurs te beveiligen met adequate authenticatiemethoden, de publieke blootstelling te beperken, “/debug/pprof”-eindpunten te monitoren op tekenen van abnormale activiteit en stappen te ondernemen om RepoJacking-aanvallen te voorkomen.

Thijs Van der Does