云原生服务风险测绘分析（四）：Prometheus

阅读： 8

一、概述

Prometheus是一套开源的监控、告警、时间序列数据库的组合工具。与Kubernetes由Google内部Borg系统演变而来相似，Prometheus由Google内部的Borgmon[6]监控系统演变而来，最初在2012年由前Google工程师Matt T. Proud于SoundCloud[5]进行研发使用并在短时间内迅速受到业界广泛认可,后于2015年初在GitHub上开源，目前已有42.2K的Star数和7.1的Fork数。其用户社区非常活跃，拥有将近700位贡献者，并在多数云原生组件中被集成。

2016年5月，Prometheus成为继Kubernetes之后第二个正式加入CNCF的项目，同年六月发布1.0版本，并与2018年8月顺利毕业。Prometheus现已被众多的企业、互联网公司和初创公司在其微服务业务环境下使用。

本篇为云原生服务测绘系列的第四篇，主要从资产发现、资产漏洞、资产脆弱性发现三个维度对国内暴露的Prometheus进行了测绘分析，最后笔者针对Prometheus提供了一些安全建议，希望各位读者通过阅读此文可对Prometheus服务风险暴露情况有更清晰的认识。

二、Prometheus资产风险测绘分析

2.1 Prometheus资产暴露情况分析

借助测绘数据，我们可以了解到国内Prometheus资产地区和版本的分布情况，笔者也以这两个维度为各位读者进行介绍。

2.1.1 Prometheus资产地区分布

笔者从测绘数据中得到Prometheus相关资产共5908条数据，地区分布如图1所示（资产数较少的由于篇幅原因不在图中显示）

图1 Prometheus资产地区分布

笔者针对以上Prometheus资产暴露的端口情况进行了统计，如图2所示：

图2 Prometheus资产端口分布

由图1、图2我们可以得出如下信息：

国内暴露的Prometheus资产信息中有约81%的数据来源于北京市、上海市、广东省、浙江省、香港特别行政区、江苏省，其中北京市暴露1403条数据位居第一

国内暴露的Prometheus资产使用的端口主要分布在9090端口，9090为Prometheus Dashboard提供HTTP服务的默认端口，使用9090端口的资产数约占整体资产数的94%

2.1.2 Prometheus资产版本分布

借助测绘数据，笔者对国内暴露的Prometheus资产版本进行了分析，其分布情况如图3所示（资产版本数较少的由于篇幅原因不在图中显示）：

图3 Prometheus资产版本分布

上图可以看出在统计的Prometheus资产中，24%的资产未获取到具体版本信息，剩余约76%资产中，绝大多数资产暴露版本分布在2.32.1、2.34.0、2.31.1、2.26.0、2.28.1、2.27.1、2.30.3之中。

2.2 Prometheus脆弱性风险和漏洞介绍

2.2.1 脆弱性风险介绍

Prometheus的2.24.0版本（2021.1.6发布，当前版本为2.35.0）之前，Prometheus未内置认证授权等安全机制，究其原因，笔者查看了官方Q&A文档[7]，其中官方是这样解释的：

TLS and basic authentication is gradually being rolled out to the different components.Please follow the different releases and change logs to know which components have already implemented it.
The components currently supporting TLS and authentication are:

· Prometheus 2.24.0 and later

· Node Exporter 1.0.0 and later

可以看出官方计划将TLS和Basic认证机制在不同的组件中实现，目前还在进行中，并给出了当前支持认证机制的具体