Peneliti keamanan siber memperingatkan bahwa ribuan server yang menampung perangkat pemantauan dan peringatan Prometheus berisiko mengalami kebocoran informasi dan paparan terhadap serangan penolakan layanan (DoS) serta eksekusi kode jarak jauh (RCE).
“Server atau eksportir Prometheus, seringkali tidak memiliki otentikasi yang tepat, memungkinkan penyerang dengan mudah mengumpulkan informasi sensitif, seperti kredensial dan kunci API,” kata peneliti keamanan Aqua Yakir Kadkoda dan Assaf Morag dalam laporan baru yang dibagikan kepada The Hacker News.
Perusahaan keamanan cloud juga mengatakan bahwa paparan titik akhir “/debug/pprof” yang digunakan untuk menentukan penggunaan memori heap, penggunaan CPU, dan lainnya, dapat berfungsi sebagai vektor serangan DoS, sehingga membuat server tidak dapat beroperasi.
Sebanyak 296.000 instance Prometheus Node Eksportir dan 40.300 server Prometheus diperkirakan dapat diakses publik melalui internet, sehingga menjadikannya sebagai permukaan serangan besar yang dapat membahayakan data dan layanan.
Fakta bahwa informasi sensitif, seperti kredensial, kata sandi, token autentikasi, dan kunci API, dapat bocor melalui server Prometheus yang terekspos internet telah didokumentasikan sebelumnya oleh JFrog pada tahun 2021 dan Sysdig pada tahun 2022.
“Server Prometheus yang tidak diautentikasi memungkinkan kueri langsung terhadap data internal, berpotensi mengungkap rahasia yang dapat dieksploitasi oleh penyerang untuk mendapatkan pijakan awal di berbagai organisasi,” kata para peneliti.
Selain itu, ditemukan bahwa titik akhir “/metrics” tidak hanya dapat mengungkapkan titik akhir API internal, namun juga data tentang subdomain, registri Docker, dan gambar — semua informasi berharga bagi penyerang yang melakukan pengintaian dan ingin memperluas jangkauan mereka dalam jaringan.
Bukan itu saja. Musuh dapat mengirimkan beberapa permintaan simultan ke titik akhir seperti “/debug/pprof/heap” untuk memicu tugas pembuatan profil heap yang intensif memori dan CPU yang dapat membebani server dan menyebabkan server mogok.
Aqua lebih lanjut menyebutkan ancaman rantai pasokan yang melibatkan penggunaan teknik repojacking untuk memanfaatkan nama yang terkait dengan repositori GitHub yang dihapus atau diganti namanya dan memperkenalkan eksportir pihak ketiga yang jahat.
Secara khusus, ditemukan bahwa delapan eksportir yang tercantum dalam dokumentasi resmi Prometheus rentan terhadap RepoJacking, sehingga memungkinkan penyerang membuat ulang eksportir dengan nama yang sama dan menghosting versi jahat. Masalah ini telah diatasi oleh tim keamanan Prometheus pada September 2024.
“Pengguna yang tidak menaruh curiga mengikuti dokumentasi dapat secara tidak sadar mengkloning dan menyebarkan eksportir jahat ini, yang menyebabkan eksekusi kode jarak jauh pada sistem mereka,” kata para peneliti.
Organisasi disarankan untuk mengamankan server dan eksportir Prometheus dengan metode autentikasi yang memadai, membatasi paparan publik, memantau titik akhir “/debug/pprof” untuk mencari tanda-tanda aktivitas anomali, dan mengambil langkah-langkah untuk menghindari serangan RepoJacking.
