サイバーセキュリティの研究者たちは、Prometheusの監視およびアラートツールキットをホストする数千のサーバーが、情報漏洩やサービス拒否(DoS)攻撃、リモートコード実行(RCE)攻撃の危険にさらされていると警告しています。アクアセキュリティの研究者であるヤキール・カッドコダ氏とアサフ・モラグ氏は、新たに発表した報告書で、「Prometheusサーバーまたはエクスポータは、適切な認証がないことが多く、攻撃者が簡単に機密情報(認証情報やAPIキーなど)を収集できてしまいます」と述べています。
さらに、クラウドセキュリティ企業は、heapメモリ使用量やCPU使用状況を測定するために使用される「/debug/pprof」エンドポイントがDoS攻撃のベクターとして利用され、サーバーを無効化する恐れがあるとも指摘しています。現在、296,000のPrometheus Node Exporterインスタンスと40,300のPrometheusサーバーがインターネット上で公開されており、これはデータやサービスにリスクをもたらす大規模な攻撃対象となっています。
また、2021年にはJFrog、2022年にはSysdigにより、インターネットに公開されたPrometheusサーバー経由で認証情報やパスワード、認証トークン、APIキーが漏洩する可能性があることが報告されています。「認証されていないPrometheusサーバーは内部データの直接クエリを可能にし、攻撃者が様々な組織に侵入するための足掛かりを得ることができるかもしれません」と研究者たちは警告しています。
さらに、「/metrics」エンドポイントは内部APIエンドポイントやサブドメイン、Dockerレジストリ、イメージに関するデータを暴露し、攻撃者がネットワーク内でのリーチを拡大する参考になる重要な情報を提供します。攻撃者は「/debug/pprof/heap」のようなエンドポイントに対して複数の同時リクエストを送信することで、CPUやメモリに負荷をかけるheapプロファイリングタスクをトリガーし、サーバーをダウンさせることが可能です。
アクアはさらに、削除されたり名前を変更されたGitHubリポジトリに関連づけられた名前を利用して悪意のある第三者エクスポータを導入するリポジトリジャッキングの脅威を指摘しています。具体的には、Prometheusの公式ドキュメントにリストされている8つのエクスポータがリポジトリジャッキングに脆弱であり、攻撃者は同じ名前のエクスポータを再作成し、不正なバージョンをホストすることが可能です。この問題は2024年9月までにPrometheusのセキュリティチームによって対処されました。「ドキュメントに従って無警戒に使用するユーザーが、自らのシステム上でリモートコード実行を引き起こす悪意のあるエクスポータをクローンおよびデプロイする可能性がある」と研究者たちは警告しています。
組織は、Prometheusサーバーおよびエクスポータを適切な認証手段で保護し、公に公開されることを制限し、「/debug/pprof」エンドポイントに見られる異常な活動の監視を行い、リポジトリジャッキング攻撃を回避するための対策を講じることが推奨されています。