fbpx

Pesquisadores de cibersegurança estão alertando que milhares de servidores que hospedam o Prometheus, uma ferramenta popular de monitoramento e alerta, estão em risco de vazamento de informações e exposição a ataques de negação de serviço (DoS) e execução remota de código (RCE).

“Servidores ou exportadores do Prometheus, muitas vezes sem autenticação adequada, permitiram que atacantes coletassem facilmente informações sensíveis, como credenciais e chaves de API,” afirmaram os pesquisadores de segurança da Aqua, Yakir Kadkoda e Assaf Morag, em um novo relatório.

A empresa de segurança em nuvem também alertou que a exposição dos endpoints “/debug/pprof”, usados para determinar o uso de memória heap, CPU e outros recursos, pode servir como vetor para ataques DoS, tornando os servidores inoperáveis.

Estima-se que cerca de 296.000 instâncias do Prometheus Node Exporter e 40.300 servidores Prometheus estejam publicamente acessíveis pela internet, criando uma enorme superfície de ataque que pode colocar dados e serviços em risco. No Brasil, onde o uso de ferramentas de monitoramento tem crescido rapidamente, esse número pode ser significativo.

O fato de que informações sensíveis, como credenciais, senhas, tokens de autenticação e chaves de API, podem vazar através de servidores Prometheus expostos à internet já foi documentado anteriormente pela JFrog em 2021 e pela Sysdig em 2022.

“Servidores Prometheus não autenticados permitem consultas diretas a dados internos, potencialmente expondo segredos que os atacantes podem explorar para obter um ponto de apoio inicial em várias organizações,” explicaram os pesquisadores.

Além disso, descobriu-se que o endpoint “/metrics” pode revelar não apenas endpoints de API internos, mas também dados sobre subdomínios, registros Docker e imagens – todas informações valiosas para um atacante realizando reconhecimento e buscando expandir seu alcance dentro da rede.

E não é só isso. Um adversário poderia enviar múltiplas solicitações simultâneas a endpoints como “/debug/pprof/heap” para acionar tarefas de criação de perfil de heap intensivas em CPU e memória, que podem sobrecarregar os servidores e causar sua queda.

A Aqua também alertou sobre uma ameaça à cadeia de suprimentos que envolve o uso de técnicas de “repojacking” para aproveitar o nome associado a repositórios GitHub excluídos ou renomeados e introduzir exportadores maliciosos de terceiros.

Especificamente, descobriu-se que oito exportadores listados na documentação oficial do Prometheus são vulneráveis ao RepoJacking, permitindo assim que um atacante recrie um exportador com o mesmo nome e hospede uma versão maliciosa. Esses problemas foram abordados pela equipe de segurança do Prometheus em setembro de 2024.

“Usuários desavisados seguindo a documentação poderiam, sem saber, clonar e implantar esse exportador malicioso, levando à execução remota de código em seus sistemas,” alertaram os pesquisadores.

Recomendações para empresas brasileiras:

  1. Implementar métodos de autenticação adequados em servidores e exportadores Prometheus.
  2. Limitar a exposição pública desses servidores.
  3. Monitorar endpoints “/debug/pprof” em busca de sinais de atividade anômala.
  4. Tomar medidas para evitar ataques de RepoJacking.
  5. Realizar auditorias regulares de segurança em suas infraestruturas de monitoramento.
  6. Manter-se atualizado sobre as últimas vulnerabilidades e patches de segurança.
  7. Treinar equipes de TI sobre as melhores práticas de segurança para ferramentas de monitoramento.

Para as empresas brasileiras, que estão cada vez mais dependentes de infraestruturas de TI robustas, é crucial abordar essas vulnerabilidades com urgência. A exposição de dados sensíveis pode não apenas comprometer a segurança da empresa, mas também violar regulamentações de proteção de dados, como a LGPD, resultando em multas significativas e danos à reputação.

Conheça nossas soluções: https://www.infomach.com.br/

Procurar

Encontre o conteúdo que deseja

Categorias

Newsletter

Assine nossa newsletter e receba diretamente em seu e-mail nossos informativos.

Redes Sociais