Nghiên cứu về an ninh mạng đã đưa ra cảnh báo nghiêm trọng đối với hàng nghìn máy chủ đang lưu trữ tập công cụ giám sát và cảnh báo Prometheus. Những máy chủ này đang chịu rủi ro lớn về rò rỉ thông tin, cũng như có thể trở thành mục tiêu của các cuộc tấn công từ chối dịch vụ (DoS) và thực hiện mã từ xa (RCE). Theo báo cáo của các nhà nghiên cứu an ninh từ Aqua, rất nhiều máy chủ Prometheus hay các xuất khẩu của nó thiếu sự xác thực cần thiết, cho phép kẻ tấn công dễ dàng thu thập thông tin nhạy cảm như thông tin xác thực và khóa API.
Aqua cũng nêu rõ rằng những điểm cuối “/debug/pprof” được sử dụng để xác định mức sử dụng bộ nhớ heap, CPU và các chỉ số khác có thể trở thành phương tiện cho các cuộc tấn công DoS, dẫn đến việc máy chủ không hoạt động. Ước tính có tới 296.000 phiên bản Prometheus Node Exporter và 40.300 máy chủ Prometheus đang có thể truy cập công khai qua Internet, khiến chúng trở thành bề mặt tấn công khổng lồ, đe dọa an toàn dữ liệu và dịch vụ. Việc lộ thông tin nhạy cảm như thông tin xác thực, mật khẩu, mã thông báo xác thực và khóa API thông qua các máy chủ Prometheus được công khai qua Internet đã được tài liệu hóa trước đó bởi JFrog vào năm 2021 và Sysdig vào năm 2022.
Nhóm nghiên cứu cảnh báo rằng việc máy chủ Prometheus không xác thực cho phép thực hiện truy vấn trực tiếp vào dữ liệu nội bộ, tiềm ẩn việc tiết lộ bí mật mà kẻ tấn công có thể khai thác để chiếm lĩnh các tổ chức khác nhau. Ngoài ra, một điểm cuối nữa là “/metrics” không chỉ có khả năng tiết lộ các điểm cuối API nội bộ mà còn cung cấp dữ liệu về các tên miền phụ, kho Docker và hình ảnh – tất cả đều là thông tin quý giá cho những kẻ tấn công đang tiến hành thu thập thông tin nhằm mở rộng ảnh hưởng trong mạng lưới.
Chưa dừng lại ở đó, kẻ thù có thể gửi nhiều yêu cầu đồng thời đến các điểm cuối như “/debug/pprof/heap” để kích hoạt các tác vụ phân tích bộ nhớ và CPU cường độ cao, có thể làm cho máy chủ bị quá tải và sập. Aqua cũng đã nêu bật một mối đe dọa chuỗi cung ứng liên quan đến việc sử dụng các kỹ thuật repojacking để lợi dụng tên gọi liên quan đến các kho chứa GitHub đã bị xóa hoặc đổi tên và giới thiệu các xuất khẩu bên thứ ba độc hại.
Cụ thể, nhóm này đã phát hiện ra rằng tám xuất khẩu được liệt kê trong tài liệu chính thức của Prometheus có lỗ hổng về RepoJacking, cho phép kẻ tấn công tái tạo một xuất khẩu với cùng tên và host một phiên bản độc hại. Những vấn đề này đã được đội ngũ an ninh của Prometheus giải quyết tính đến tháng 9 năm 2024.
Nhà nghiên cứu cho biết rằng, những người dùng không nghi ngờ có thể vô tình sao chép và triển khai xuất khẩu độc hại này theo tài liệu, dẫn đến việc thực hiện mã từ xa trên hệ thống của họ. Các tổ chức được khuyến nghị nên bảo mật các máy chủ và xuất khẩu Prometheus bằng những phương pháp xác thực thích hợp, hạn chế sự tiếp xúc công khai, theo dõi các điểm cuối “/debug/pprof” để phát hiện bất kỳ hoạt động bất thường nào và thực hiện các biện pháp để tránh các cuộc tấn công RepoJacking.