专家警告未受保护的普罗米修斯端点会暴露敏感信息

根据最新的研究，从普罗米修斯事件监控和警报解决方案的旧版本中大规模未经验证地删除公开可用和不安全的端点，可能会被用来无意中泄露敏感信息。

“由于身份验证和加密支持相对较新，许多使用普罗米修斯的组织尚未启用这些功能，因此许多普罗米修斯端点完全暴露在互联网上（例如运行早期版本的端点），泄露度量和标签数据，”JFrog研究人员Andrey Polkovnychenko和沙查尔·梅纳什在一份报告中说。

Prometheus是一个开源的系统监控和警报工具包，用于收集和处理来自不同端点的指标，同时可以方便地观察软件指标，如内存使用率、网络使用率，以及特定于软件的定义指标，如失败登录web应用程序的次数。支持传输层安全（TLS）和基本身份验证的版本2.24.0在2021年1月6日发布。

这些发现来自对公开暴露的普罗米修斯端点的系统性扫描，这些端点可以在互联网上访问，无需任何身份验证，所发现的指标暴露了软件版本和主机名，研究人员说，攻击者可以将其武器化，以便在利用特定服务器之前对目标环境进行侦察，或利用横向移动等攻击后技术。

一些端点和披露的信息如下所示-

• /api/v1/status/config-从加载的YAML配置文件中泄漏URL字符串中提供的用户名和密码
• /api/v1/targets-添加到目标计算机地址的元数据标签泄漏，包括环境变量以及用户名和计算机名
• /api/v1/状态/标志-提供YAML配置文件的完整路径时用户名泄漏

更令人担忧的是，攻击者可以使用“/api/v1/status/flags”端点来查询两个管理接口的状态—；“web.enable admin api”和“web.enable lifecycle”—；如果发现手动启用，利用它们删除所有保存的指标，更糟的是，关闭监控服务器。值得注意的是，从普罗米修斯2.0开始，出于安全原因，这两个端点默认处于禁用状态。

JFrog表示，他们发现大约15%面向互联网的Prometheus端点启用了API管理设置，4%的端点启用了数据库管理。通过物联网搜索引擎Shodan上的搜索，总共确认了约27000台主机。

除了建议组织“查询端点[…；]为了帮助验证敏感数据是否已被泄露，”研究人员指出，“需要比普罗米修斯提供的更强大身份验证或加密功能的高级用户，也可以设置单独的网络实体来处理安全层。"