Rate this post


Prométhée

Selon les dernières recherches, un grattage non authentifié à grande échelle de points de terminaison accessibles au public et non sécurisés à partir d’anciennes versions de la solution de surveillance et d’alerte des événements Prometheus pourrait être utilisé pour divulguer par inadvertance des informations sensibles.

« En raison du fait que la prise en charge de l’authentification et du chiffrement est relativement récente, de nombreuses organisations qui utilisent Prometheus n’ont pas encore activé ces fonctionnalités et, par conséquent, de nombreux points de terminaison Prometheus sont complètement exposés à Internet (par exemple, les points de terminaison exécutant des versions antérieures), des fuites de métriques et d’étiquettes dat”, les chercheurs de JFrog Andrey Polkovnychenko et Shachar Menashe mentionné dans un rapport.

Prométhée est une boîte à outils open source de surveillance et d’alerte de système utilisée pour collecter et traiter les métriques de différents points de terminaison, tout en permettant une observation facile des métriques logicielles telles que l’utilisation de la mémoire, l’utilisation du réseau et les métriques définies spécifiques au logiciel, telles que le nombre d’échecs de connexion à une application web. La prise en charge de Transport Layer Security (TLS) et de l’authentification de base a été introduite avec version 2.24.0 sortie le 6 janvier 2021.

Sauvegardes automatiques GitHub

Les résultats proviennent d’un balayage systématique des points de terminaison Prometheus publiquement exposés, qui étaient accessibles sur Internet sans nécessiter aucune authentification, les métriques trouvées exposant les versions logicielles et les noms d’hôte, qui, selon les chercheurs, pourraient être utilisés par des attaquants pour effectuer la reconnaissance d’un environnement cible avant d’exploiter un serveur particulier ou pour des techniques de post-exploitation comme le mouvement latéral.

Prométhée

Certains points de terminaison et les informations divulguées sont les suivantes –

  • /api/v1/statut/config – Fuite des noms d’utilisateur et des mots de passe fournis dans les chaînes d’URL du fichier de configuration YAML chargé
  • /api/v1/cibles – Fuite d’étiquettes de métadonnées, y compris les variables d’environnement ainsi que les noms d’utilisateur et de machine, ajoutées aux adresses des machines cibles
  • /api/v1/statut/drapeaux – Fuite de noms d’utilisateur lors de la fourniture d’un chemin complet vers le fichier de configuration YAML
Empêcher les attaques de ransomware

Plus inquiétant encore, un attaquant peut utiliser le point de terminaison “/api/v1/status/flags” pour interroger l’état de deux interfaces d’administration — “web.enable-admin-api” et “web.enable-lifecycle” – et s’ils sont activés manuellement, exploitez-les pour supprimer toutes les métriques enregistrées et pire, arrêtez le serveur de surveillance. Il convient de noter que les deux points de terminaison sont désactivés par défaut pour des raisons de sécurité à partir de Prometheus 2.0.

Prométhée

JFrog a déclaré avoir trouvé qu’environ 15% des points de terminaison Prometheus accessibles sur Internet avaient le paramètre de gestion des API activé et 4% avaient activé la gestion de la base de données. Au total, environ 27 000 hôtes ont été identifiés via une recherche sur le moteur de recherche IoT Shodan.

En plus de recommander aux organisations d’« interroger les points de terminaison […] pour aider à vérifier si des données sensibles ont pu être exposées”, les chercheurs ont noté que “les utilisateurs avancés nécessitant une authentification ou un cryptage plus forts que ceux fournis par Prometheus peuvent également configurer une entité réseau distincte pour gérer la couche de sécurité”.



Leave a Reply