Aunque es potente, Prometheus asume que los usuarios protegerán sus endpoints HTTP y registros, pero muchos no lo hacen. Los servidores expuestos, identificados a través de Shodan por los investigadores de Aqua Nautilus, destacan los riesgos de las configuraciones predeterminadas. Los datos sensibles encontrados en algunos servidores, incluidos activos pertenecientes a Skoda Auto, muestran cómo los atacantes podrían explotar esta información para ciberataques dirigidos.
Además, los atacantes pueden sobrecargar los componentes de Prometheus para interrumpir los servicios, como se demostró en pruebas donde instancias de AWS EC2 y pods de Kubernetes fueron desactivados utilizando endpoints de depuración predeterminados. Asimismo, algunos exportadores de Prometheus fueron encontrados vulnerables a repojacking, lo que permitió a los atacantes secuestrar namespaces en GitHub y desplegar código malicioso bajo nombres de proyectos legítimos. Este problema fue abordado posteriormente por Prometheus tras la notificación de los investigadores.
Para mitigar estos riesgos, las organizaciones deben proteger los endpoints de Prometheus con autenticación, monitorear discrepancias en los proyectos de GitHub para prevenir el repojacking y emplear herramientas para reducir las vulnerabilidades de DoS. Este caso sirve como un recordatorio de la importancia de configurar y proteger adecuadamente las herramientas de código abierto para prevenir posibles explotaciones.
Source: Dark Reading
La European Cyber Intelligence Foundation es un think tank sin fines de lucro especializado en inteligencia y ciberseguridad, que ofrece servicios de consultoría a entidades gubernamentales. Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net, o puedes intentarlo tú mismo usando check.website.