33万超のPrometheusサーバーに情報流出やDoS、RCEのリスク

佐々山 Tacos

2025.10.30

33万超のPrometheusサーバーに情報流出やDoS、RCEのリスク

Securityonline[.]info – December 15, 2024

Prometheusにおける懸念すべきセキュリティ上の脆弱性について、Aqua Nautilusが注意喚起。同社によると、インターネットに露出したPrometheusサーバーおよびエクスポーター336,000超が、情報流出、DoS攻撃、およびリモートコード実行のリスクに晒されている恐れがあるという。

Prometheusはオープンソースのモニタリング・アラーティングツールキットで、現代のIT環境において不可欠な存在となっている。しかしAqua Nautilusによれば、ネットに露出したサーバーまたはエクスポーターは適切な認証を欠いている場合が多く、「攻撃者がクレデンシャルやAPIキーなど、機微な情報を簡単に収集できる」状態が生まれていたという。

今回Aqua Nautilusは、懸念される主要なエリアとして以下3つを挙げている。

情報流出：Prometheusエンドポイントが一般にアクセス可能な状態になっていることで、攻撃者は機微なデータを抜き取ることができる。公開インターネットへ接続されているサーバーやエクスポーターが認証を有していないことにより、サブドメインやDockerレジストリ、内部APIキーを含む秘密情報が漏洩する恐れがある。

DoS攻撃：デバッグ・エンドポイントの設定不備により、DoS状態が引き起こされるリスクがある。攻撃者は誤設定のあるエンドポイントを悪用し、サーバーに強制的に強度の高いプロファイリングオペレーションを実行させ、過剰にCPUおよびメモリリソースを消費させる恐れがある。このような攻撃はKubernetes Podにおけるシステムクラッシュを招いたり、あるいはホスト全体をアクセス不能にしたりする可能性があるという。

RepoJacking経由のリモートコード実行：RepoJacking（リポジャッキング）は、削除またはリネームされたGitHubリポジトリを乗っ取り、当該プロジェクトのユーザーに対して有害なコードを実行するというタイプのサプライチェーン攻撃。ユーザーがこうしたリポジトリから有害なPrometheusエクスポーターをクローン・デプロイすることにより、ユーザーのシステムでRCEが行われる恐れがある。

Aqua Nautilusが実施したShodanによる調査では、インターネットに接続されたエクスポーターが296,000超、サーバーが40,000超見つかっている（同社のブログ記事が公開された12月12日時点の情報）。ヨーロッパの自動車メーカーSkoda（シュコダ・オート）も認証が欠如したPrometeusインスタンスを有していたとされ、同社に関連するDockerレジストリおよびイメージが公開状態になっていたほか、サブドメインおよびパスもアクセス可能な状態だったという。Aqua Nautilusは、Prometeusデプロイメントの保護をより適切に行うことの必要性を強調している。