33万超のPrometheusサーバーに情報流出やDoS、RCEのリスク
Securityonline[.]info – December 15, 2024
Prometheusにおける懸念すべきセキュリティ上の脆弱性について、Aqua Nautilusが注意喚起。同社によると、インターネットに露出したPrometheusサーバーおよびエクスポーター336,000超が、情報流出、DoS攻撃、およびリモートコード実行のリスクに晒されている恐れがあるという。
Prometheusはオープンソースのモニタリング・アラーティングツールキットで、現代のIT環境において不可欠な存在となっている。しかしAqua Nautilusによれば、ネットに露出したサーバーまたはエクスポーターは適切な認証を欠いている場合が多く、「攻撃者がクレデンシャルやAPIキーなど、機微な情報を簡単に収集できる」状態が生まれていたという。
今回Aqua Nautilusは、懸念される主要なエリアとして以下3つを挙げている。
- 情報流出:Prometheusエンドポイントが一般にアクセス可能な状態になっていることで、攻撃者は機微なデータを抜き取ることができる。公開インターネットへ接続されているサーバーやエクスポーターが認証を有していないことにより、サブドメインやDockerレジストリ、内部APIキーを含む秘密情報が漏洩する恐れがある。
- DoS攻撃:デバッグ・エンドポイントの設定不備により、DoS状態が引き起こされるリスクがある。攻撃者は誤設定のあるエンドポイントを悪用し、サーバーに強制的に強度の高いプロファイリングオペレーションを実行させ、過剰にCPUおよびメモリリソースを消費させる恐れがある。このような攻撃はKubernetes Podにおけるシステムクラッシュを招いたり、あるいはホスト全体をアクセス不能にしたりする可能性があるという。
- RepoJacking経由のリモートコード実行:RepoJacking(リポジャッキング)は、削除またはリネームされたGitHubリポジトリを乗っ取り、当該プロジェクトのユーザーに対して有害なコードを実行するというタイプのサプライチェーン攻撃。ユーザーがこうしたリポジトリから有害なPrometheusエクスポーターをクローン・デプロイすることにより、ユーザーのシステムでRCEが行われる恐れがある。
Aqua Nautilusが実施したShodanによる調査では、インターネットに接続されたエクスポーターが296,000超、サーバーが40,000超見つかっている(同社のブログ記事が公開された12月12日時点の情報)。ヨーロッパの自動車メーカーSkoda(シュコダ・オート)も認証が欠如したPrometeusインスタンスを有していたとされ、同社に関連するDockerレジストリおよびイメージが公開状態になっていたほか、サブドメインおよびパスもアクセス可能な状態だったという。Aqua Nautilusは、Prometeusデプロイメントの保護をより適切に行うことの必要性を強調している。
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価