Prometheus endpoint unprotected installs could expose sensitive data
2021/10/18 SecurityAffairs — JFrog の研究者たちが、オープンソースのイベント監視ソリューションである、Prometheus の保護されていない複数のインスタンスを発見し、機密データが漏洩する可能性があることを公表した。Prometheus は、複数のエンドポイントからリアルタイムでメトリクスを取得するソリューションであり、Uber などの大手企業で使用されている。
Scraper とも呼ばれる Prometheus の検索ジョブは、対象となるサービスからデータを取り出し、集約してデータベースに受渡す。
JFrog の研究者たちは、メトリック・データやラベル・データをリークする、多数のPrometheus エンドポイントがオンラインで公開されていることを発見した。そして、一般に公開されている、あるいは、セキュリティが施されていないインスタンスに対して、大規模かつ未認証での Scraping に成功した。
2021年1月には、Ver 2.24.0 がリリースされ、TLS (Transport Layer Security) と Basic 認証がサポートされた。しかし、残念なことに、Prometheus の多くのインストールでは、これらのセキュリティ機能が有効になっていないため、これらのセキュリティ機能に焦点を当て、JFrog の研究者たちは分析を行った。JFrog は、「一般に公開されている安全でないPrometheus エンドポイントの、大規模かつ未認証の Scraping を行った。その結果として、Shodan 検索エンジンを使用して約27,000台、ZoomEyeを使用して43,000台の、セキュリティ保護されていないインストールを発見した」と述べている。
さらに、「Shodan や ZoomEye のような検索エンジンを使えば、何万ものPrometheus エンドポイントを簡単に見つけることが可能だ。私たちが、Shodan で見た最も効果的な単一のクエリは、Web UI の favicon で Prometheusのエンドポイントを探すというものだった。この特定のクエリ (http.favicon.hash:-1399433489) は、Shodan では約27Kのホストを、ZoomEyeでは約43Kのホストを返す。これらの公開されたエンドポイントを、自動的に反復処理することで、このクエリから返されたエンドポイントの 100% が公開可能なデータを持っていることが分かった。それらには、認証機構が導入されていないことも意味する」と述べている。
公開されたデータは機密情報である可能性があり、脅威アクターが組織に対して、さらなる攻撃を行うために使用することが可能だ。それらの、露出したデータには、複数のサービスに関連する URL 文字列とログイン認証情報や、インフラ・サービス、マシンアドレス、メタデータ・ラベル、SSH 公開鍵、Kubelet の環境変数などがある。
また、JFW の専門家は、コマンドライン・フラグで有効化できる、オプションの管理 API を悪用して、保存されたメトリクスの削除や、監視サーバーのシャットダウンなどが可能になるという、さらなるセキュリティ・リスクについても警告している。
研究者たちは、「認証されていない Scraping の結果、公開されている Prometheus のエンドポイントのうち、約15%が API 管理を有効にしており、約4%がデータベース管理を有効にしていることが判明した。つまり、認証されていない攻撃者が、これらの Prometheus エンドポイントのメトリクスを、簡単にシャットダウン/削除できることを意味している。今回の調査では、このような能力があることが明らかになった、これらのエンドポイントのユーザーへの危害や被害を避けるため、今回の調査の一環としては、このようなシャットダウンや削除を行う試みは行っていない」と述べている。
Prometheus を導入する際には、機密情報の漏洩を防ぐために、認証および暗号化のメカニズムを使用することを、研究者たちは推奨している。
この記事では、 Prometheus はオープンソースのイベント監視ソリューションと紹介されていますが、8月にポストした「Prometheus TDS という MaaS (Malware-as-a-Service) とトラフィック操作攻撃」には、アンダーグラウンドで $250 で販売されるものだと記されています。また、6月には「新たなランサムウェア Prometheus は REvil と連携している?」 という記事がありました。しかし、今日の記事では、Uber などの大手企業が利用していると書かれていて、混乱してしまいますね。どこかで、確認できるとは思いますが、現状では未整理情報となります。
IoT OT Security News 