ثغرات أمنية في Fluent Bit
كشفت دراسة بحثية أجريت عن خمس ثغرات أمنية خطيرة في Fluent Bit، وهو وكيل قياس عن بُعد مفتوح المصدر واسع الانتشار. عند ربط هذه الثغرات ببعضها، تتيح للجهات الفاعلة طرقًا متعددة للسيطرة على أصول السحابة، أو التدخل في سلامة السجلات، أو تعطيل توافر الخدمة عبر بيئات السحابة وKubernetes.
جدول المحتويات
كيف يمكن للمهاجمين استغلال هذه العيوب
تفتح هذه العيوب المكتشفة مجتمعةً الباب أمام تجاوز المصادقة، والتلاعب بالملفات، وتنفيذ الشيفرة البرمجية عن بُعد، وتعطيل الخدمة، والتلاعب بالعلامات. وإذا استُخدمت هذه العيوب كسلاح، فإنها تُمكّن المتسلل من إتلاف السجلات، وإخفاء الأنشطة الخبيثة، وحقن بيانات قياس عن بُعد مُفبركة، والتوغل في البنية التحتية السحابية.
تفصيل الثغرات الأمنية الشائعة التي تم تحديدها
توضح الثغرات الأمنية التالية مدى اتساع سطح الهجوم عندما تقوم Fluent Bit بمعالجة مدخلات غير موثوقة:
- CVE‑2025‑12972 - ثغرة أمنية في مسار التنقل مرتبطة باستخدام قيم وسوم غير مُنقّحة لتوليد أسماء الملفات. يُعرّض هذا الأنظمة لعمليات كتابة عشوائية للملفات، والتلاعب بالسجلات، واحتمال تنفيذ أكواد برمجية.
- CVE‑2025‑12970 – تجاوز سعة المخزن المؤقت للمكدس في مكون إدخال Docker Metrics (in_docker). قد يؤدي إنشاء حاويات بأسماء طويلة جدًا إلى تعطل النظام أو تنفيذ تعليمات برمجية عن بُعد.
- CVE‑2025‑12978 – خلل منطقي في مطابقة العلامات يسمح بتزييف العلامات الموثوقة من خلال تخمين الحرف الأولي فقط من Tag_Key، مما يتيح للمهاجمين إعادة توجيه السجلات وتجاوز التصفية وحقن السجلات المزيفة.
- CVE‑2025‑12977 – التحقق غير الصحيح من صحة العلامات المشتقة من الحقول التي يتحكم بها المهاجم. قد تُدخل مدخلات ضارة تسلسلات انتقالية، أو أسطرًا جديدة، أو أحرف تحكم تُفسد خطوط أنابيب السجلات اللاحقة.
- CVE‑2025‑12969 – مصادقة مفقودة في مكون in_forward الذي تستخدمه نسخ Fluent Bit التي تتواصل عبر بروتوكول Forward. يسمح هذا الحذف بحقن سجلات مزورة أو إغراق أدوات الأمان اللاحقة بأحداث مُختلقة.
التأثير المحتمل على عمليات السحابة
تُعطي هذه الثغرات مجتمعةً تأثيرًا واسعًا على كيفية جمع Fluent Bit لبيانات القياس عن بُعد ومعالجتها وتخزينها. قد يُعيد المهاجم المُصمم توجيه الأحداث المهمة أو حجبها، أو يُدخل معلومات مُضللة، أو يمحو علامات الاختراق، أو يُفعّل تنفيذ برمجيات خبيثة من خلال سجلات مُتلاعب بها. ونظرًا للانتشار الواسع لـ Fluent Bit، تُهدد هذه المخاطر موثوقية بيئات السحابة المؤسسية وموثوقية بنيتها التحتية لتسجيل البيانات.
التصحيحات وإرشادات البائعين
تم حل المشكلات بعد الإفصاح المنسق، مع توفير الإصلاحات في إصدارات Fluent Bit 4.1.1 و4.0.12، التي تم إصدارها في أكتوبر 2025. وتنصح AWS، التي شاركت أيضًا في عملية الإفصاح، جميع العملاء الذين يستخدمون Fluent Bit بالتحديث على الفور للحفاظ على الحماية.
توصيات أمنية
لتقليل التعرض وتعزيز قنوات المراقبة، يوصي الخبراء بتشديد التكوين وتقييد أسطح الهجوم. تشمل الإجراءات الدفاعية الرئيسية ما يلي:
تجنب استخدام العلامات الديناميكية للتوجيه وتقييد مسارات الإخراج لمنع توسيع المسار أو عبوره بواسطة العلامات.
قم بتثبيت أدلة التكوين مثل /fluent-bit/etc/ للقراءة فقط، وقم بحظر التلاعب بوقت التشغيل، وقم بتشغيل Fluent Bit تحت حسابات غير الجذر.
السياق من الاكتشافات السابقة
يأتي هذا الكشف في أعقاب ثغرة سابقة في Fluent Bit تم الإبلاغ عنها قبل أكثر من عام: CVE‑2024‑4323، والمعروفة أيضًا باسم Linguistic Lumberjack. أثرت هذه الثغرة على خادم HTTP المدمج في العميل، وعرّضت المثيلات لهجمات الحرمان من الخدمة، وكشف البيانات، وتنفيذ التعليمات البرمجية عن بُعد. تُؤكد المشكلات المُكتشفة حديثًا على الأهمية المستمرة لتأمين أدوات القياس عن بُعد التي تُشكل أساس إمكانية المراقبة السحابية.
