Các nhà nghiên cứu an ninh mạng cảnh báo rằng hàng nghìn máy chủ sử dụng công cụ giám sát và cảnh báo Prometheus đang đối mặt với nguy cơ rò rỉ thông tin và bị tấn công từ chối dịch vụ (DoS) hoặc thực thi mã từ xa (RCE).

Các nhà nghiên cứu bảo mật cảnh báo rằng hơn 300.000 thiết bị Prometheus, bao gồm 296.000 Node Exporter và 40.300 server Prometheus, đang bị lộ trên internet. Điều này đang tạo cơ hội cho kẻ tấn công đánh cắp thông tin nhạy cảm như mật khẩu, API keys và authentication tokens.

Nhiều hệ thống không được cấu hình xác thực đầy đủ, dễ bị khai thác qua các endpoint như “/metrics” hoặc “/debug/pprof”. Những endpoint này không chỉ tiết lộ thông tin nội bộ mà còn có thể bị lợi dụng để tấn công từ chối dịch vụ (DoS).

Ngoài ra, nguy cơ từ RepoJacking—tấn công lợi dụng các kho GitHub bị xóa hoặc đổi tên—cho phép kẻ xấu phát tán mã độc qua exporters giả mạo. Prometheus đã khắc phục một số vấn đề này, tuy nhiên, để giảm thiểu rủi ro, các tổ chức cần:

• Áp dụng xác thực mạnh cho server và exporter Prometheus.
• Hạn chế truy cập công khai vào các endpoint nhạy cảm như “/debug/pprof”.
• Theo dõi các hoạt động bất thường trên server Prometheus.
• Đảm bảo kiểm tra exporters trước khi triển khai để tránh nguy cơ RepoJacking.

Nguồn: The hacker news