Über 300.000 Prometheus-Instanzen gefährdet: Sicherheitslücken und API-Schlüssel im Netz

MÜNCHEN (IT BOLTWISE) – Die Sicherheit von Prometheus-Servern steht auf dem Spiel, da Forscher auf massive Sicherheitslücken hinweisen, die sensible Daten preisgeben könnten.

Die Sicherheit von Prometheus-Servern, einem weit verbreiteten Monitoring- und Alarmierungstool, ist in den letzten Wochen verstärkt in den Fokus gerückt. Sicherheitsforscher warnen davor, dass Tausende von Servern, die Prometheus hosten, einem erheblichen Risiko ausgesetzt sind. Diese Server könnten nicht nur Informationen preisgeben, sondern auch Ziel von Denial-of-Service (DoS) und Remote-Code-Ausführungsangriffen (RCE) werden.

Ein Bericht von Aqua Security hebt hervor, dass Prometheus-Server oder deren Exporter oft ohne ausreichende Authentifizierung betrieben werden. Dies ermöglicht Angreifern den einfachen Zugriff auf sensible Informationen wie Anmeldedaten und API-Schlüssel. Die Forscher Yakir Kadkoda und Assaf Morag betonen, dass die Exposition von Endpunkten wie „/debug/pprof“ ein Einfallstor für DoS-Angriffe darstellt, die die Server lahmlegen könnten.

Schätzungen zufolge sind etwa 296.000 Prometheus Node Exporter-Instanzen und 40.300 Prometheus-Server öffentlich über das Internet zugänglich. Diese große Angriffsfläche stellt ein erhebliches Risiko für die Datensicherheit und die Verfügbarkeit von Diensten dar. Bereits in den Jahren 2021 und 2022 wurde von JFrog und Sysdig dokumentiert, dass über das Internet exponierte Prometheus-Server sensible Informationen wie Anmeldedaten und API-Schlüssel preisgeben können.

Die Forscher warnen, dass nicht authentifizierte Prometheus-Server eine direkte Abfrage interner Daten ermöglichen. Dies könnte Angreifern die Möglichkeit geben, geheime Informationen zu erlangen und sich so einen ersten Zugang zu verschiedenen Organisationen zu verschaffen. Zudem kann der „/metrics“-Endpunkt nicht nur interne API-Endpunkte offenlegen, sondern auch Daten über Subdomains, Docker-Registries und Images preisgeben, was für Angreifer bei der Durchführung von Erkundungen von großem Wert ist.

Ein weiteres Risiko besteht darin, dass ein Angreifer mehrere gleichzeitige Anfragen an Endpunkte wie „/debug/pprof/heap“ senden könnte, um CPU- und speicherintensive Heap-Profiling-Aufgaben auszulösen. Dies könnte die Server überlasten und zum Absturz bringen. Aqua Security hebt zudem eine Bedrohung der Lieferkette hervor, bei der Angreifer Repokapping-Techniken nutzen könnten, um den Namen gelöschter oder umbenannter GitHub-Repositories zu übernehmen und bösartige Drittanbieter-Exporter einzuführen.

Besonders besorgniserregend ist die Entdeckung, dass acht Exporter, die in der offiziellen Prometheus-Dokumentation aufgeführt sind, anfällig für RepoJacking sind. Dies ermöglicht es einem Angreifer, einen Exporter mit demselben Namen neu zu erstellen und eine bösartige Version zu hosten. Diese Probleme wurden inzwischen vom Prometheus-Sicherheitsteam im September 2024 behoben.

Um sich zu schützen, wird Organisationen empfohlen, Prometheus-Server und -Exporter mit angemessenen Authentifizierungsmethoden abzusichern, die öffentliche Exposition zu begrenzen, die „/debug/pprof“-Endpunkte auf Anzeichen von Anomalien zu überwachen und Maßnahmen zu ergreifen, um RepoJacking-Angriffe zu vermeiden.