Prometheus стал инструментом в руках хакеров

Prometheus, популярный инструмент для мониторинга IT-систем, оказался под угрозой из-за серьезных уязвимостей, выявленных исследователями Aqua Security. Тысячи серверов и экспортеров Prometheus по всему миру остаются незащищенными, что делает их легкой добычей для злоумышленников. Основная проблема — отсутствие базовой аутентификации, из-за чего хакеры получают доступ к конфиденциальным данным, включая учетные записи, токены аутентификации и API-ключи. Это не только угрожает безопасности данных, но и ставит под удар всю инфраструктуру компаний.

Злоумышленники используют открытые серверы Prometheus для выполнения атак разного типа. Например, конечные точки вроде «/debug/pprof», изначально созданные для диагностики, хакеры применяют для перегрузки процессоров и оперативной памяти серверов. Это вызывает атаки типа отказ в обслуживании (DoS), которые могут привести к остановке работы систем. Проблема усугубляется новой тактикой под названием «RepoJacking». Суть этого метода в том, что злоумышленники создают поддельные версии экспортеров, рекомендуемых в официальной документации Prometheus. Загружая такие версии, администраторы могут случайно запустить вредоносный код, который открывает хакерам доступ ко всей системе.

Масштаб угрозы впечатляет. По данным Aqua Security, в интернете свободно доступны около 296 тысяч экспортеров Prometheus Node Exporter и более 40 тысяч серверов Prometheus. Эти системы становятся частью огромной поверхности для атак. Дополнительно, такие конечные точки, как «/metrics», раскрывают важную информацию о внутренних системах, включая API, поддомены и даже Docker-реестры. Это упрощает разведывательную деятельность для киберпреступников и позволяет им находить новые уязвимости.

Несмотря на усилия команды безопасности Prometheus, проблема требует комплексного подхода. Администраторам необходимо ограничить доступ к серверам через интернет, использовать строгую аутентификацию и шифрование данных, а также регулярно проверять программное обеспечение на наличие уязвимостей. Отказ от загрузки неподтвержденных экспортеров — еще один важный шаг в борьбе с угрозами.