Anzeige

Hacker

Moderne Versionen der Open-Source-Lösung Prometheus unterstützen Sicherheitsmechanismen wie Basisauthentifizierung und TLS, die explizit konfiguriert werden müssen und nicht standardmäßig aktiviert sind. Andernfalls können Hacker leicht sensible Informationen abgreifen und bei einigen Installationen sogar Denial-of-Service-Aktionen durchführen.

Die Sicherheitsforscher Andrey Polkovnychenko und Shachar Menashe von JFrog weisen nun auf die fehlenden Sicherheitsmechanismen hin und empfehlen dringend die Implementierung von TLS und einfacher Authentifizierung.

Die Lösung zur metrikbasierten Ereignisüberwachung und Alarmierung für Cloud-Anwendungen wird von fast 800 Cloud-nativen Unternehmen verwendet, darunter Uber, Slack, Robinhood und viele mehr. Durch das Scraping von Echtzeit-Metriken von verschiedenen Endpunkten ermöglicht Prometheus eine einfache Beobachtung des Systemzustands. Es ermöglicht darüber hinaus eine Beobachtung von Hardware- und Software-Metriken wie Speicher- und Netzwerknutzung sowie softwarespezifisch definierten Metriken z. B. Anzahl der fehlgeschlagenen Anmeldeversuche bei einer Webanwendung.

Da die von Prometheus erfassten numerischen Metriken nicht als sensible Daten gelten, hat Prometheus verständlicherweise auf die integrierte Unterstützung von Sicherheitsfunktionen wie Authentifizierung und Verschlüsselung verzichtet, um sich auf die Entwicklung der überwachungsbezogenen Funktionen zu konzentrieren. Dies änderte sich vor etwa einem Jahr mit der Veröffentlichung von Version 2.24.0, in der Transport Layer Security (TLS) und grundlegende Authentifizierungsunterstützung eingeführt wurden.

Da die Authentifizierungs- und Verschlüsselungsunterstützung relativ neu ist, haben viele Organisationen, die Prometheus verwenden, diese Funktionen noch nicht aktiviert, so dass viele Prometheus-Endpunkte vollständig dem Internet und damit Cybergefahren ausgesetzt sind, z. B. Endpunkte, auf denen frühere Versionen ausgeführt werden, wodurch Metrik- und Metadaten durchsickern können. Dies könnten dazu führen, dass über die Open Source-Software Prometheus Daten unbemerkt abfließen und verbirgt sich hinter der zu Beginn beschriebenen Metapher. Bei Suchen über spezielle Schwachstellen-Suchmaschinen wie Shodan konnten weltweit mehr als 27.000 verwundbare Endpunkte ausgemacht werden, über 3.000 davon in Deutschland. 

Asaf Karas, JFrog Security CTO, kommentiert die Forschungsergebnisse wie folgt: „Dies ist in dreifacher Hinsicht von Bedeutung. Erstens ist Prometheus ein äußerst beliebtes Framework, das heute von vielen Unternehmen verwendet wird. Wenn das System in der Cloud eingesetzt wird, wird Prometheus höchstwahrscheinlich verwendet, um die Cloud-Anwendungen zu überwachen. Zweitens ist Prometheus zwar schon seit Jahren im Einsatz, aber die Sicherheitsmechanismen wurden erst im Januar 2021 hinzugefügt. Und schließlich, und das ist vielleicht das Wichtigste, geben die Entwickler wahrscheinlich unwissentlich sensible Informationen, einschließlich Anmeldedaten, preis, weil sie die Sicherheitsvorkehrungen wahrscheinlich nicht einsetzen.“

Fazit

Seit dem Aufkommen von dynamischen Service-Erkennungsmechanismen und dynamischen Kennzeichnungen ist es für Entwickler und IT-Serviceteams immer schwieriger geworden, nachzuvollziehen, welche Betriebsdaten tatsächlich von Prometheus offengelegt werden und diese Daten können sich ohne Vorankündigung ändern. Daher empfehlen die Sicherheitsforscher dringend die Verwendung von Authentifizierungs- und Verschlüsselungsmechanismen bei der Bereitstellung von Prometheus, um die unbeabsichtigte Weitergabe sensibler Informationen zu verhindern. Die Implementierung dieser Funktionen in Prometheus 2.24.0 und späteren Versionen ist dank der integrierten Unterstützung, die das Prometheus-Team im Januar hinzugefügt hat, einfacher denn je. 

Zusätzlich zur Aktivierung dieser Mechanismen empfehlen sie jedem Entwickler zu überprüfen, ob vor der Implementierung der Authentifizierungs- und TLS-Funktionen in Prometheus möglicherweise sensible Daten offengelegt wurden.

Organisationen und Unternehmen, die eine stärkere Authentifizierung oder Verschlüsselung als die von Prometheus bereitgestellte benötigen, sollten erwägen eine zusätzliche Sicherheitsebene in der Systemarchitektur einzurichten, um die Sicherheit des gesamten Systems zu erhöhen. Ein Beispiel dafür ist ein nginx-Reverse-Proxy der vor Prometheus bei Bedarf erweiterte Authentifizierungsoptionen wie die Bearer-HTTP-Authentifizierung bereitstellt.

www.jfrog.com


Weitere Artikel

Black Friday

DDoS-Angriffe am Black-Friday-Wochenende brechen Rekorde

Das vergangene Cyber Weekend lockte nicht nur Schnäppchenjäger ins Internet. Neueste Auswertungen des IT-Sicherheitsanbieters Link11 zeigen, dass auch Cyberkriminelle versuchten, die Gunst der Stunde zu nutzen.
Cybercrime

Cyberkriminelle nutzen neue Angriffstechnik in Sachen Phishing

Die Cybersecurity-Experten von Proofpoint waren kürzlich in der Lage, eine neue, von Cyberkriminellen genutzte Angriffstechnik in puncto Phishing zu enttarnen. Bei der sogenannten „RTF Template Injection“ werden mittels einer RTF-Datei gefährliche Inhalte von…
Supply Chain

Das schwächste Glied: Angeschlagene Lieferketten im Fokus von Hackern

Seit Monaten versuchen Logistikunternehmen und Händler auf der ganzen Welt den Auswirkungen der Pandemie Herr zu werden. Bei steigender Nachfrage – gerade auch durch das anstehende Weihnachtsgeschäft – haben sie mit drastischen Engpässen und Verspätungen zu…
Monero Miner

Böses Omen: Tor2Mine Kryptominer mit neuen Varianten

Sophos hat neue Erkenntnisse über den Tor2Mine Kryptominer veröffentlicht. "Das Vorhandensein von Minern wie Tor2Mine in einem Netzwerk ist fast immer ein Vorbote für andere, potenziell gefährlichere Eindringlinge. Tor2Mine ist jedoch viel aggressiver als…
Router

Hacker willkommen: Lücken in sämtlichen gängigen WLAN-Routern

Neun WLAN-Router bekannter Hersteller fanden sich kürzlich unter Laborbedingungen im Sicherheitstest wieder – mit verheerenden Ergebnissen im Bereich IT Security.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.