Pesquisadores de cibersegurança estão alertando que milhares de servidores que hospedam o Prometheus, uma ferramenta popular de monitoramento e alerta, estão em risco de vazamento de informações e exposição a ataques de negação de serviço (DoS) e execução remota de código (RCE).
“Servidores ou exportadores do Prometheus, muitas vezes sem autenticação adequada, permitiram que atacantes coletassem facilmente informações sensíveis, como credenciais e chaves de API,” afirmaram os pesquisadores de segurança da Aqua, Yakir Kadkoda e Assaf Morag, em um novo relatório.
A empresa de segurança em nuvem também alertou que a exposição dos endpoints “/debug/pprof”, usados para determinar o uso de memória heap, CPU e outros recursos, pode servir como vetor para ataques DoS, tornando os servidores inoperáveis.
Estima-se que cerca de 296.000 instâncias do Prometheus Node Exporter e 40.300 servidores Prometheus estejam publicamente acessíveis pela internet, criando uma enorme superfície de ataque que pode colocar dados e serviços em risco. No Brasil, onde o uso de ferramentas de monitoramento tem crescido rapidamente, esse número pode ser significativo.
O fato de que informações sensíveis, como credenciais, senhas, tokens de autenticação e chaves de API, podem vazar através de servidores Prometheus expostos à internet já foi documentado anteriormente pela JFrog em 2021 e pela Sysdig em 2022.
“Servidores Prometheus não autenticados permitem consultas diretas a dados internos, potencialmente expondo segredos que os atacantes podem explorar para obter um ponto de apoio inicial em várias organizações,” explicaram os pesquisadores.
Além disso, descobriu-se que o endpoint “/metrics” pode revelar não apenas endpoints de API internos, mas também dados sobre subdomínios, registros Docker e imagens – todas informações valiosas para um atacante realizando reconhecimento e buscando expandir seu alcance dentro da rede.
E não é só isso. Um adversário poderia enviar múltiplas solicitações simultâneas a endpoints como “/debug/pprof/heap” para acionar tarefas de criação de perfil de heap intensivas em CPU e memória, que podem sobrecarregar os servidores e causar sua queda.
A Aqua também alertou sobre uma ameaça à cadeia de suprimentos que envolve o uso de técnicas de “repojacking” para aproveitar o nome associado a repositórios GitHub excluídos ou renomeados e introduzir exportadores maliciosos de terceiros.
Especificamente, descobriu-se que oito exportadores listados na documentação oficial do Prometheus são vulneráveis ao RepoJacking, permitindo assim que um atacante recrie um exportador com o mesmo nome e hospede uma versão maliciosa. Esses problemas foram abordados pela equipe de segurança do Prometheus em setembro de 2024.
“Usuários desavisados seguindo a documentação poderiam, sem saber, clonar e implantar esse exportador malicioso, levando à execução remota de código em seus sistemas,” alertaram os pesquisadores.
Recomendações para empresas brasileiras:
- Implementar métodos de autenticação adequados em servidores e exportadores Prometheus.
- Limitar a exposição pública desses servidores.
- Monitorar endpoints “/debug/pprof” em busca de sinais de atividade anômala.
- Tomar medidas para evitar ataques de RepoJacking.
- Realizar auditorias regulares de segurança em suas infraestruturas de monitoramento.
- Manter-se atualizado sobre as últimas vulnerabilidades e patches de segurança.
- Treinar equipes de TI sobre as melhores práticas de segurança para ferramentas de monitoramento.
Para as empresas brasileiras, que estão cada vez mais dependentes de infraestruturas de TI robustas, é crucial abordar essas vulnerabilidades com urgência. A exposição de dados sensíveis pode não apenas comprometer a segurança da empresa, mas também violar regulamentações de proteção de dados, como a LGPD, resultando em multas significativas e danos à reputação.
Conheça nossas soluções: https://www.infomach.com.br/
