在這項研究中，我們發現了 Prometheus 生態系統中的多個漏洞和安全缺陷。這些發現涵蓋三個主要領域：資訊外洩、拒絕服務 (DoS) 和代碼執行。我們發現，暴露的 Prometheus 主機或導出器通常缺乏適當的身份驗證，使攻擊者能夠輕鬆收集敏感信息，例如憑證和 API 金鑰。

此外，我們還發現調試端點暴露帶來的 DoS 攻擊的驚人風險pprof，一旦被利用，可能會壓垮 Prometheus 主機、Kubernetes Pod 和其他主機並使其崩潰。  

此外，我們的調查還發現，由於名為「RepoJacking」的漏洞而存在遠端程式碼執行風險，該漏洞可能透過廢棄或重新命名的 GitHub 儲存庫引入惡意匯出程式。  

我們的調查結果強調，至少有 336,000 台伺服器將其 Prometheus 主機和匯出器暴露到Internet，這種做法會帶來重大的安全風險。

詳細可參閱