Los investigadores de ciberseguridad advierten que miles de servidores que albergan el kit de herramientas de monitoreo y alerta Prometheus corren el riesgo de sufrir fugas de información y exposición a ataques de denegación de servicio (DoS), así como de ejecución remota de código (RCE).
«Los servidores o exportadores de Prometheus , a menudo carentes de autenticación adecuada, permitieron a los atacantes recopilar fácilmente información confidencial, como credenciales y claves API», dijeron los investigadores de seguridad de Aqua, Yakir Kadkoda y Assaf Morag , en un nuevo informe compartido con The Hacker News.
La empresa de seguridad en la nube también dijo que la exposición de los puntos finales «/debug/pprof» utilizados para determinar el uso de la memoria del montón, el uso de la CPU y otros, podría servir como un vector para ataques DoS, dejando los servidores inoperativos.
Se estima que hay hasta 296.000 instancias de Prometheus Node Exporter y 40.300 servidores Prometheus accesibles públicamente a través de Internet, lo que los convierte en una enorme superficie de ataque que podría poner en riesgo datos y servicios.
El hecho de que información confidencial, como credenciales, contraseñas, tokens de autenticación y claves API, pudiera filtrarse a través de servidores Prometheus expuestos a Internet fue documentado previamente por JFrog en 2021 y Sysdig en 2022.
«Los servidores Prometheus no autenticados permiten la consulta directa de datos internos, lo que potencialmente expone secretos que los atacantes pueden explotar para obtener un punto de apoyo inicial en varias organizaciones», dijeron los investigadores.
Además, se ha descubierto que el punto final «/metrics» no solo puede revelar puntos finales de API internos, sino también datos sobre subdominios, registros de Docker e imágenes: toda información valiosa para un atacante que realiza un reconocimiento y busca expandir su alcance dentro de la red.
Pero eso no es todo. Un adversario podría enviar múltiples solicitudes simultáneas a puntos finales como «/debug/pprof/heap» para activar tareas de creación de perfiles de montón que consumen mucha memoria y CPU y que pueden sobrecargar los servidores y hacer que se bloqueen.
Aqua también denunció una amenaza a la cadena de suministro que implica el uso de técnicas de repojacking para aprovechar el nombre asociado con repositorios de GitHub eliminados o renombrados e introducir exportadores maliciosos de terceros.
En concreto, descubrió que ocho exportadores enumerados en la documentación oficial de Prometheus son vulnerables a RepoJacking , lo que permite a un atacante recrear un exportador con el mismo nombre y alojar una versión no autorizada. El equipo de seguridad de Prometheus ha abordado estos problemas a partir de septiembre de 2024.
«Los usuarios desprevenidos que sigan la documentación podrían clonar e implementar sin saberlo este exportador malicioso, lo que provocaría la ejecución remota de código en sus sistemas», dijeron los investigadores.
Se recomienda a las organizaciones proteger los servidores y exportadores de Prometheus con métodos de autenticación adecuados, limitar la exposición pública, monitorear los puntos finales «/debug/pprof» para detectar cualquier signo de actividad anómala y tomar medidas para evitar ataques de RepoJacking.
Fuente y redacción: thehackernews.com
