Sebbene potente, Prometheus presuppone che gli utenti proteggano i propri endpoint HTTP e log, ma molti non lo fanno. I server esposti, identificati tramite Shodan dai ricercatori di Aqua Nautilus, evidenziano i rischi delle impostazioni predefinite. Dati sensibili trovati su alcuni server, inclusi asset appartenenti a Skoda Auto, mostrano come gli attaccanti potrebbero sfruttare queste informazioni per ciberattacchi mirati.
Inoltre, gli attaccanti possono sovraccaricare i componenti di Prometheus per interrompere i servizi, come dimostrato nei test in cui istanze AWS EC2 e pod Kubernetes sono stati disattivati utilizzando endpoint di debug predefiniti. Inoltre, alcuni esportatori di Prometheus sono risultati vulnerabili a rejack, consentendo agli attaccanti di dirottare namespace GitHub e distribuire codice dannoso sotto nomi di progetto legittimi. Questo problema è stato successivamente affrontato da Prometheus dopo la segnalazione dei ricercatori.
Per mitigare questi rischi, le organizzazioni devono proteggere gli endpoint di Prometheus con autenticazione, monitorare eventuali discrepanze nei progetti GitHub per prevenire il rejack e utilizzare strumenti per ridurre le vulnerabilità DoS. Questo caso serve come promemoria dell’importanza di configurare e proteggere correttamente gli strumenti open-source per prevenire possibili sfruttamenti.
Source: Dark Reading
La European Cyber Intelligence Foundation è un think tank no-profit specializzato in intelligence e sicurezza informatica, che offre servizi di consulenza agli enti governativi. Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net, oppure puoi provare tu stesso utilizzando check.website.