آنتی ویروس پادویش

نشت اطلاعات محرمانه و کلیدهای API : بیش از ۳۰۰ هزار نمونه Prometheus در معرض خطر

نشت اطلاعات محرمانه و کلیدهای API

هزاران سرور Prometheus در معرض خطر نشت اطلاعات حساس، حملات DoS و اجرای کد از راه دور قرار دارند. محققان به سازمان‌ها توصیه می‌ کنند اقدامات امنیتی لازم را برای محافظت از سرورهای خود انجام دهند و از حملات RepoJacking جلوگیری کنند.

نشت اطلاعات محرمانه و کلیدهای API

به گزارش زوم تک از هکر نیوز، محققان امنیت سایبری هشدار می‌ دهند که هزاران سرور میزبان ابزار Prometheus، که برای نظارت و هشداردهی استفاده می‌ شود، در معرض خطر نشت اطلاعات و حملات منع سرویس (DoS) و همچنین اجرای کد از راه دور (RCE) قرار دارند.

یاکیر کادکودا و آساف موراگ، محققان امنیتی Aqua، در گزارشی جدید اعلام کردند: “سرورها یا صادرکنندگان Prometheus، که اغلب فاقد احراز هویت مناسب هستند، به مهاجمان اجازه می‌ دهند به راحتی اطلاعات حساس مانند اعتبارنامه‌ها و کلیدهای API را جمع‌آوری کنند.”

این شرکت امنیت ابری همچنین اعلام کرد که افشای نقاط پایانی “/debug/pprof” که برای تعیین میزان استفاده از حافظه هیپ، استفاده از CPU و موارد دیگر استفاده می‌ شود، می‌تواند به عنوان عاملی برای حملات DoS عمل کند و سرورها را از کار بیاندازد.

تخمین زده می‌ شود که ۲۹۶۰۰۰ نمونه Prometheus Node Exporter و ۴۰۳۰۰ سرور Prometheus از طریق اینترنت در دسترس عموم هستند و آنها را به یک سطح حمله بزرگ تبدیل می‌کند که می‌تواند داده‌ها و خدمات را در معرض خطر قرار دهد.

این واقعیت که اطلاعات حساس، مانند اعتبارنامه‌ها، رمزهای عبور، توکن‌های احراز هویت و کلیدهای API، می‌تواند از طریق سرورهای Prometheus در معرض اینترنت نشت کند، قبلاً توسط JFrog در سال ۲۰۲۱ و Sysdig در سال ۲۰۲۲ مستند شده است.

محققان می‌گویند: “سرورهای Prometheus بدون احراز هویت، امکان پرس و جو مستقیم از داده‌های داخلی را فراهم می‌کنند و به طور بالقوه اسرار را فاش می‌کنند که مهاجمان می‌توانند از آنها برای به دست آوردن جای پایی اولیه در سازمان‌های مختلف سوء استفاده کنند.”

علاوه بر این، مشخص شده است که نقطه پایانی “/metrics” نه تنها می‌تواند نقاط پایانی API داخلی را نشان دهد، بلکه داده‌هایی در مورد زیر دامنه‌ها، رجیستری‌های Docker و تصاویر را نیز نشان می‌دهد – همه اطلاعات ارزشمند برای مهاجمی که در حال شناسایی است و به دنبال گسترش دسترسی خود در شبکه است.

این همه ماجرا نیست. یک مهاجم می‌تواند چندین درخواست همزمان را به نقاط پایانی مانند “/debug/pprof/heap” ارسال کند تا وظایف پروفایل هیپ فشرده CPU و حافظه را راه‌اندازی کند که می‌تواند سرورها را تحت الشعاع قرار دهد و باعث خرابی آنها شود.

Aqua همچنین یک تهدید زنجیره تامین را مطرح کرد که شامل استفاده از تکنیک‌های repojacking برای استفاده از نام مرتبط با مخازن GitHub حذف شده یا تغییر نام یافته و معرفی صادرکنندگان مخرب شخص ثالث است.

به طور خاص، این شرکت کشف کرد که هشت صادرکننده فهرست شده در اسناد رسمی Prometheus در برابر RepoJacking آسیب‌پذیر هستند، در نتیجه به مهاجم اجازه می‌دهد صادرکننده‌ای با همان نام ایجاد کند و یک نسخه جعلی را میزبانی کند. این مسائل از سپتامبر ۲۰۲۴ توسط تیم امنیتی Prometheus برطرف شده است.

محققان می‌گویند: “کاربرانی که از اسناد پیروی می‌کنند، می‌توانند ناخواسته این صادرکننده مخرب را شبیه‌سازی و مستقر کنند و منجر به اجرای کد از راه دور در سیستم‌های خود شوند.”

به سازمان‌ها توصیه می‌شود سرورها و صادرکنندگان Prometheus را با روش‌های احراز هویت کافی ایمن کنند، قرار گرفتن در معرض دید عموم را محدود کنند، نقاط پایانی “/debug/pprof” را برای هرگونه نشانه‌ای از فعالیت غیرعادی نظارت کنند و اقداماتی را برای جلوگیری از حملات RepoJacking انجام دهند.

به این پست امتیاز بدید

نظرات در مورد : نشت اطلاعات محرمانه و کلیدهای API : بیش از ۳۰۰ هزار نمونه Prometheus در معرض خطر

0 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *