資料來源：IThome

資安業者Aqua Security針對應用程式監控工具Prometheus配置不當的情況提出警告，指出全球超過能透過網際網路存取的33萬臺主機存在風險，攻擊者有機會竊取機敏資訊、造成阻斷服務（Dos）、執行任意程式碼

隨著容器化應用程式部署的盛行，對相關系統進行監控的工具也受到廣泛採用，然而，一旦這類工具的配置不當，同樣可能引發資安重大危機。

資安業者Aqua Security指出，他們針對經常被用於監控Kubernetes狀態的開源工具Prometheus進行調查，結果找到40,396臺能從網際網路存取的伺服器，以及296,145臺Exporter（負責收集與轉送列管的端點系統狀態資料），換言之，總共約有336,000臺主機曝露資安風險，有可能導致資訊洩露、阻斷服務（DoS）、任意程式碼執行的情況。

研究人員強調，由於這些伺服器與Exporter往往缺乏合宜的身分驗證，攻擊者能夠輕易地收集帳密或API金鑰等敏感資料。

對於阻斷服務（DoS）的情況，起因是pprof除錯端點曝露在外，所謂的pprof除錯端點，是指Prometheus本身內含pprof套件、提供Go語言程式碼的除錯，用於HTTP伺服器的效能資料剖析。攻擊者若是對這類系統發動阻斷服務攻擊，就有機會造成大範圍損害，破壞Prometheus伺服器、Kubernetes節點，甚至是其他主機。

假如攻擊者利用儲存庫挾持（RepoJacking）手法，有可能遠端利用這些開放存取的Prometheus主機，執行任意程式碼（RCE）。

針對上述的資安風險，研究人員認為，開發團隊應針對Prometheus伺服器與Exporter採取適當的身分驗證機制，並且盡量減少曝露在網際網路，而對於除錯的端點，他們認為最好限制僅能用於內部環境，正式環境應停用除錯端點。

此外，他們也認為企業組織也要確認下載的套件來源正確，以防遭遇供應鏈攻擊。