هزاران سرور Prometheus در معرض خطر نشت اطلاعات حساس، حملات DoS و اجرای کد از راه دور قرار دارند. محققان به سازمانها توصیه می کنند اقدامات امنیتی لازم را برای محافظت از سرورهای خود انجام دهند و از حملات RepoJacking جلوگیری کنند.
نشت اطلاعات محرمانه و کلیدهای API
به گزارش زوم تک از هکر نیوز، محققان امنیت سایبری هشدار می دهند که هزاران سرور میزبان ابزار Prometheus، که برای نظارت و هشداردهی استفاده می شود، در معرض خطر نشت اطلاعات و حملات منع سرویس (DoS) و همچنین اجرای کد از راه دور (RCE) قرار دارند.
یاکیر کادکودا و آساف موراگ، محققان امنیتی Aqua، در گزارشی جدید اعلام کردند: “سرورها یا صادرکنندگان Prometheus، که اغلب فاقد احراز هویت مناسب هستند، به مهاجمان اجازه می دهند به راحتی اطلاعات حساس مانند اعتبارنامهها و کلیدهای API را جمعآوری کنند.”
این شرکت امنیت ابری همچنین اعلام کرد که افشای نقاط پایانی “/debug/pprof” که برای تعیین میزان استفاده از حافظه هیپ، استفاده از CPU و موارد دیگر استفاده می شود، میتواند به عنوان عاملی برای حملات DoS عمل کند و سرورها را از کار بیاندازد.
تخمین زده می شود که ۲۹۶۰۰۰ نمونه Prometheus Node Exporter و ۴۰۳۰۰ سرور Prometheus از طریق اینترنت در دسترس عموم هستند و آنها را به یک سطح حمله بزرگ تبدیل میکند که میتواند دادهها و خدمات را در معرض خطر قرار دهد.
این واقعیت که اطلاعات حساس، مانند اعتبارنامهها، رمزهای عبور، توکنهای احراز هویت و کلیدهای API، میتواند از طریق سرورهای Prometheus در معرض اینترنت نشت کند، قبلاً توسط JFrog در سال ۲۰۲۱ و Sysdig در سال ۲۰۲۲ مستند شده است.
محققان میگویند: “سرورهای Prometheus بدون احراز هویت، امکان پرس و جو مستقیم از دادههای داخلی را فراهم میکنند و به طور بالقوه اسرار را فاش میکنند که مهاجمان میتوانند از آنها برای به دست آوردن جای پایی اولیه در سازمانهای مختلف سوء استفاده کنند.”
علاوه بر این، مشخص شده است که نقطه پایانی “/metrics” نه تنها میتواند نقاط پایانی API داخلی را نشان دهد، بلکه دادههایی در مورد زیر دامنهها، رجیستریهای Docker و تصاویر را نیز نشان میدهد – همه اطلاعات ارزشمند برای مهاجمی که در حال شناسایی است و به دنبال گسترش دسترسی خود در شبکه است.
این همه ماجرا نیست. یک مهاجم میتواند چندین درخواست همزمان را به نقاط پایانی مانند “/debug/pprof/heap” ارسال کند تا وظایف پروفایل هیپ فشرده CPU و حافظه را راهاندازی کند که میتواند سرورها را تحت الشعاع قرار دهد و باعث خرابی آنها شود.
Aqua همچنین یک تهدید زنجیره تامین را مطرح کرد که شامل استفاده از تکنیکهای repojacking برای استفاده از نام مرتبط با مخازن GitHub حذف شده یا تغییر نام یافته و معرفی صادرکنندگان مخرب شخص ثالث است.
به طور خاص، این شرکت کشف کرد که هشت صادرکننده فهرست شده در اسناد رسمی Prometheus در برابر RepoJacking آسیبپذیر هستند، در نتیجه به مهاجم اجازه میدهد صادرکنندهای با همان نام ایجاد کند و یک نسخه جعلی را میزبانی کند. این مسائل از سپتامبر ۲۰۲۴ توسط تیم امنیتی Prometheus برطرف شده است.
محققان میگویند: “کاربرانی که از اسناد پیروی میکنند، میتوانند ناخواسته این صادرکننده مخرب را شبیهسازی و مستقر کنند و منجر به اجرای کد از راه دور در سیستمهای خود شوند.”
به سازمانها توصیه میشود سرورها و صادرکنندگان Prometheus را با روشهای احراز هویت کافی ایمن کنند، قرار گرفتن در معرض دید عموم را محدود کنند، نقاط پایانی “/debug/pprof” را برای هرگونه نشانهای از فعالیت غیرعادی نظارت کنند و اقداماتی را برای جلوگیری از حملات RepoJacking انجام دهند.
نظرات در مورد : نشت اطلاعات محرمانه و کلیدهای API : بیش از ۳۰۰ هزار نمونه Prometheus در معرض خطر