Prometheus に認証情報/API キー流出の可能性:30万以上のインスタンスが公開されている

Over 300K Prometheus Instances Exposed: Credentials and API Keys Leaking Online

2024/12/12 TheHackerNews — OSS イベント監視ソリューションである、Prometheus をホスティングしている数千のサーバが、情報漏洩/サービス拒否 (DoS) 攻撃/リモート・コード実行 (RCE) 攻撃などのリスクにさらされていると、研究者たちが警告している。Aqua Security の研究者である Yakir Kadkoda と Assaf Morag は、「Prometheus Server/Exporter では、認証の欠落が多発するため、認証情報や API キーなどの機密情報が、攻撃者により容易に収集されてしまう」と、The Hacker News に共有されたレポートで述べている。

さらに、Prometheus において、ヒープ・メモリや CPU の使用量などの確認に用いられる、公開 “/debug/pprof” エンドポイントが DoS 攻撃のベクターとなり、サーバが操作不能に陥る可能性があると、Aqua Security は指摘している。

推定では、最大で 296,000 の Prometheus Node Exporter と、40,300 の Prometheus server が、インターネット上で公開されている。したがって、データとサービスを危険にさらす可能性のある、巨大な攻撃対象領域が生じることになる。

インターネットに公開される Prometheus サーバを介して、認証情報/パスワード/認証トークン/API キーなどの機密情報が漏洩するというケースは、過去においても、 2021年に JFrog が、2022年には Sysdig が報告している。

研究者たちは、「認証を用いない Prometheus サーバは、内部データへの直接的なクエリを許すため、機密情報を流出させる可能性がある。機密情報を入手した攻撃者は、それらの情報を悪用することで、さまざまな組織に対するイニシャル侵入を達成し得る」と述べている。

さらに、”/metrics” エンドポイントは、内部 API エンドポイントの露出に加えて、サブドメイン/Docker レジストリ/イメージなどに関するデータも、露出させることが判明している。それらのデータは、偵察活動を行う攻撃者にとって、きわめて有益な情報であり、ネットワーク内での活動範囲の拡大へといたる。

それだけではない。攻撃者は、”/debug/pprof/heap” のようなエンドポイントに複数の同時リクエストを送信し、CPU とメモリを集中的に使用する、ヒープ・プロファイリング・タスクを起動させることも可能だ。そうすることで、サーバは圧倒され、クラッシュへといたる。

さらに Aqua は、Repojacking のテクニックを使用する、サプライチェーンの脅威についても指摘している。それは、名称が削除/変更された GitHub リポジトリに紐づく名前を用いて、悪意のサードパーティ Exporter を導入するというものだ。

具体的に言うと、Prometheus の公式ドキュメントに記載されている8つの Exporter が、RepoJacking に対して脆弱であることが判明した。攻撃者は、同じ名前の Exporter を再作成することで、不正なバージョンのホストが可能になる。これらの問題は、2024年9月の時点で、Prometheus セキュリティ・チームにより対処されている

研究者たちは、「無防備なユーザーは、ドキュメントに従って作業し、このような悪意の Exporter を意図せずに複製/展開してしまう。その結果として攻撃者は、ユーザーのシステム上でリモート・コード実行を達成する機会を得る」と述べている。

システムを保護するユーザー組織にとっては、以下の事項が推奨される:

  • 適切な認証方法で Prometheus Servers/Exporters を保護する
  • 公開範囲を制限する
  • ”/debug/pprof” エンドポイントを監視して、異常な活動の兆候を確認する
  • RepoJacking 攻撃を回避するための措置を講じる

Prometheus に脆弱性とのことです。ご利用のチームは、ご注意ください。Wikipedia を調べてみたところ、「Prometheus は、イベントのモニタリング/アラートに使用される無料のソフトウェア・アプリケーションである。HTTP プルモデルを使用して構築される時系列データベースにメトリックを記録し、柔軟なクエリとリアルタイムアラートを備えているこのプロジェクトは Goで書かれており、Apache 2ライセンスの下でライセンスされており、ソースコードは GitHub で入手できる」と、紹介されていました。よろしければ、Prometheus で検索も、ご参照ください。