Prometheus 服务器安全警告：超过 33 万个实例易受攻击

关键要点

• 超过 33 万个暴露在互联网的 Prometheus 监控和报警工具服务器存在安全隐患。
• 存在不当的身份验证和公开的 “debug//pprof” 端点，可能导致数据外泄和拒绝服务攻击。
• 攻击者可利用 “metrics” 端点获取内部 API 信息，Docker 注册表和子域名。
• 推荐立即实施安全措施、限制公众访问。

根据 的报道，超过 33 万个暴露于互联网的 Prometheus 监控与报警工具服务器和导出程序可能因身份验证不当和公开的
“debug//pprof” 端点而面临数据外泄和 。

分析显示，攻击者不仅可以通过向 “debug/pprof/heap” 及其他端点发送巨量请求来干扰服务器，还可利用 Prometheus 的
“metrics” 端点获取内部 API 端点、Docker 注册表、子域名及镜像中的信息，这些信息可用于侦查。据 Aqua Security 的
Nautilus 威胁研究人员发现，八个 Prometheus 导出程序也容易受到 repojacking攻击。“不明就里的用户在遵循文档时可能会不知情地克隆和部署这种恶意导出程序，导致系统远程代码执行，”研究人员表示，他们敦促立即采取足够的身份验证措施并限缩
Prometheus 服务器和导出程序的公共访问权限。

此外，建议组织应追踪端点并采取相应的 repojacking 缓解措施，以提升整体安全性。

安全隐患类别 | 描述
—|—
数据外泄 | 不当的身份验证使得攻击者能够访问敏感信息。
拒绝服务攻击 | 利用公开的端点向服务器发送大量请求，导致服务器瘫痪。
Repojacking 攻击 | 恶意导出程序被克隆和部署，导致远程代码执行。

建议措施： – 实施强身份验证机制。 – 限制服务器的公共访问权限。 – 监控和跟踪导出程序的端点。

通过采取这些应对措施，组织能够有效降低 Prometheus 服务器面临的安全风险。