Уязвимости в сигурността на Fluent Bit
Проведено проучване разкри пет сериозни проблема със сигурността във Fluent Bit, широко използван телеметричен агент с отворен код. Когато са свързани заедно, тези слабости дават на злонамерените лица множество пътища за завладяване на облачните активи, нарушаване на целостта на лог файловете или нарушаване на достъпността на услугите в облачни и Kubernetes среди.
Съдържание
Как нападателите биха могли да се възползват от недостатъците
Разкритите дефекти колективно отварят вратата към заобикаляне на удостоверяването, манипулиране на файлове, дистанционно изпълнение на код, прекъсване на услуги и подправяне на тагове. Ако бъдат използвани като оръжие, те предоставят на нарушителя възможността да поврежда лог файлове, да маскира злонамерена дейност, да внедрява фалшива телеметрия и да се насочва по-дълбоко в облачната инфраструктура.
Разбивка на идентифицираните CVE
Следните уязвимости илюстрират колко широка става повърхността за атака, когато Fluent Bit обработва ненадежден вход:
- CVE‑2025‑12972 – Слабост при преминаване на пътя, свързана с използване на несанирани стойности на тагове за генериране на имена на файлове. Това излага системите на произволно записване във файлове, промяна на регистрационни файлове и потенциално изпълнение на код.
- CVE‑2025‑12970 – Препълване на буфера на стека в плъгина за въвеждане на Docker Metrics (in_docker). Създаването на контейнери с твърде дълги имена може да предизвика срив или да доведе до дистанционно изпълнение на код.
- CVE‑2025‑12978 – Логическа грешка в съпоставянето на тагове, която позволява фалшифициране на надеждни тагове чрез отгатване само на началния символ на Tag_Key, което позволява на атакуващите да пренасочват лог файлове, да заобикалят филтрирането и да инжектират манипулирани записи.
- CVE‑2025‑12977 – Неправилна проверка на етикети, получени от контролирани от атакуващия полета. Злонамерен вход може да инжектира последователности за преминаване, нови редове или контролни символи, които повредят низходящите регистрационни канали.
- CVE‑2025‑12969 – Липсва удостоверяване в плъгина in_forward, използван от инстанции на Fluent Bit, комуникиращи чрез протокола Forward. Този пропуск позволява инжектиране на фалшиви лог файлове или наводняване на инструменти за сигурност надолу по веригата с измислени събития.
Потенциално въздействие върху облачните операции
Заедно тези уязвимости предоставят значително влияние върху начина, по който Fluent Bit събира, обработва и съхранява телеметрични данни. Решителен нападател може да пренасочи или потисне важни събития, да вмъкне подвеждаща информация, да изтрие признаци на проникване или да задейства изпълнението на злонамерен код чрез манипулирани регистрационни файлове. Предвид широкото разпространение на Fluent Bit, тези рискове заплашват надеждността на корпоративните облачни среди и надеждността на тяхната инфраструктура за регистриране.
Пачове и насоки за доставчици
Проблемите бяха решени след координирано разкриване на информация, като корекциите бяха предоставени във версии 4.1.1 и 4.0.12 на Fluent Bit, издадени през октомври 2025 г. AWS, която също участва в процеса на разкриване на информация, съветва всички клиенти, използващи Fluent Bit, да актуализират своевременно, за да останат защитени.
Препоръки за сигурност
За да се намали експозицията и да се укрепят каналите за мониторинг, експертите препоръчват затягане на конфигурацията и ограничаване на повърхностите за атака. Ключовите защитни действия включват:
Избягвайте използването на динамични тагове за маршрутизиране и ограничете изходните пътища, за да предотвратите разширяване или преминаване на пътища, управлявано от тагове.
Монтирайте конфигурационни директории като /fluent-bit/etc/ само за четене, блокирайте манипулации по време на изпълнение и стартирайте Fluent Bit от акаунти, различни от root.
Контекст от по-ранни открития
Това разкритие следва предишна уязвимост на Fluent Bit, съобщена повече от година по-рано: CVE‑2024‑4323, известна още като Linguistic Lumberjack. Тази уязвимост е засегнала вградения HTTP сървър на агента и е изложила инстанциите на DoS условия, излагане на данни или дистанционно изпълнение на код. Новооткритите проблеми подчертават продължаващата важност на осигуряването на телеметрични инструменти, които формират основата на наблюдаемостта в облака.
