ফ্লুয়েন্ট বিট নিরাপত্তা দুর্বলতা
পরিচালিত গবেষণা ফ্লুয়েন্ট বিটের মধ্যে পাঁচটি গুরুতর নিরাপত্তা সমস্যা প্রকাশ করেছে, যা একটি ব্যাপকভাবে মোতায়েন করা ওপেন-সোর্স টেলিমেট্রি এজেন্ট। যখন এই দুর্বলতাগুলি একসাথে শৃঙ্খলিত হয়, তখন হুমকিদাতাদের ক্লাউড সম্পদের নিয়ন্ত্রণ দখল করার, লগ অখণ্ডতায় হস্তক্ষেপ করার, অথবা ক্লাউড এবং কুবারনেটস পরিবেশে পরিষেবার প্রাপ্যতা ব্যাহত করার একাধিক পথ তৈরি করে।
সুচিপত্র
আক্রমণকারীরা কীভাবে ত্রুটিগুলিকে কাজে লাগাতে পারে
এই অপ্রকাশিত ত্রুটিগুলি সম্মিলিতভাবে প্রমাণীকরণ বাইপাস, ফাইল ম্যানিপুলেশন, রিমোট কোড এক্সিকিউশন, পরিষেবা ব্যাহতকরণ এবং ট্যাগ টেম্পারিংয়ের দরজা খুলে দেয়। যদি অস্ত্র ব্যবহার করা হয়, তাহলে তারা একজন অনুপ্রবেশকারীকে লগগুলি দূষিত করার, দূষিত কার্যকলাপকে আড়াল করার, বানোয়াট টেলিমেট্রি ইনজেক্ট করার এবং ক্লাউড অবকাঠামোর আরও গভীরে প্রবেশ করার ক্ষমতা প্রদান করে।
চিহ্নিত সিভিইগুলির ভাঙ্গন
নিম্নলিখিত দুর্বলতাগুলি দেখায় যে ফ্লুয়েন্ট বিট যখন অবিশ্বস্ত ইনপুট প্রক্রিয়া করে তখন আক্রমণের পৃষ্ঠ কতটা বিস্তৃত হয়ে ওঠে:
- CVE‑2025‑12972 – ফাইলের নাম তৈরি করতে ব্যবহৃত অ-স্যানিটাইজড ট্যাগ মানগুলির সাথে যুক্ত একটি পাথ ট্র্যাভার্সাল দুর্বলতা। এটি সিস্টেমগুলিকে নির্বিচারে ফাইল লেখা, লগ টেম্পারিং এবং সম্ভাব্য কোড সম্পাদনের মুখোমুখি করে।
- CVE‑2025‑12970 – ডকার মেট্রিক্স ইনপুট প্লাগইন (in_docker) এ একটি স্ট্যাক বাফার ওভারফ্লো। অত্যধিক লম্বা নামের কন্টেইনার তৈরি করলে ক্র্যাশ হতে পারে অথবা রিমোট কোড এক্সিকিউশন হতে পারে।
- CVE‑2025‑12978 – ট্যাগ ম্যাচিং-এ একটি লজিক ত্রুটি যা শুধুমাত্র একটি Tag_Key-এর প্রাথমিক অক্ষর অনুমান করে নকল বিশ্বস্ত ট্যাগগুলিকে অনুমতি দেয়, আক্রমণকারীদের লগগুলি পুনরায় রুট করতে, ফিল্টারিং বাইপাস করতে এবং ম্যানিপুলেটেড রেকর্ড ইনজেক্ট করতে সক্ষম করে।
- CVE‑2025‑12977 – আক্রমণকারী-নিয়ন্ত্রিত ক্ষেত্রগুলি থেকে প্রাপ্ত ট্যাগগুলির ভুল যাচাইকরণ। ক্ষতিকারক ইনপুট ট্র্যাভার্সাল সিকোয়েন্স, নিউলাইন, অথবা নিয়ন্ত্রণ অক্ষর ইনজেক্ট করতে পারে যা ডাউনস্ট্রিম লগ পাইপলাইনগুলিকে দূষিত করে।
- CVE‑2025‑12969 – ফরোয়ার্ড প্রোটোকলের মাধ্যমে যোগাযোগকারী ফ্লুয়েন্ট বিট ইনস্ট্যান্স দ্বারা ব্যবহৃত ইন_ফরওয়ার্ড প্লাগইনে প্রমাণীকরণ অনুপস্থিত। এই বাদ পড়ার ফলে জাল লগ ইনজেকশন বা বানোয়াট ইভেন্টের সাথে ডাউনস্ট্রিম সুরক্ষা সরঞ্জামগুলি প্লাবিত হওয়ার অনুমতি দেওয়া হয়।
ক্লাউড অপারেশনের উপর সম্ভাব্য প্রভাব
একসাথে, এই দুর্বলতাগুলি ফ্লুয়েন্ট বিট কীভাবে টেলিমেট্রি ডেটা সংগ্রহ, প্রক্রিয়াকরণ এবং সঞ্চয় করে তার উপর ব্যাপক প্রভাব ফেলে। একজন দৃঢ়প্রতিজ্ঞ আক্রমণকারী গুরুত্বপূর্ণ ঘটনাগুলিকে পুনঃনির্দেশিত বা দমন করতে পারে, বিভ্রান্তিকর তথ্য স্থাপন করতে পারে, অনুপ্রবেশের লক্ষণগুলি মুছে ফেলতে পারে, অথবা ম্যানিপুলেট করা লগের মাধ্যমে ক্ষতিকারক কোড কার্যকরকরণ শুরু করতে পারে। ফ্লুয়েন্ট বিটের ব্যাপক গ্রহণের কারণে, এই ঝুঁকিগুলি এন্টারপ্রাইজ ক্লাউড পরিবেশের নির্ভরযোগ্যতা এবং তাদের লগিং অবকাঠামোর বিশ্বাসযোগ্যতার জন্য হুমকিস্বরূপ।
প্যাচ এবং বিক্রেতা নির্দেশিকা
২০২৫ সালের অক্টোবরে প্রকাশিত ফ্লুয়েন্ট বিট সংস্করণ ৪.১.১ এবং ৪.০.১২-তে সংশোধনের মাধ্যমে সমন্বিত প্রকাশের মাধ্যমে সমস্যাগুলি সমাধান করা হয়েছে। প্রকাশ প্রক্রিয়ায় অংশ নেওয়া AWS, ফ্লুয়েন্ট বিট ব্যবহারকারী সকল গ্রাহককে সুরক্ষিত থাকার জন্য দ্রুত আপডেট করার পরামর্শ দেয়।
নিরাপত্তা সংক্রান্ত সুপারিশ
এক্সপোজার কমাতে এবং পর্যবেক্ষণ পাইপলাইনগুলিকে শক্তিশালী করার জন্য, বিশেষজ্ঞরা কনফিগারেশন কঠোর করার এবং আক্রমণের পৃষ্ঠগুলিকে সীমাবদ্ধ করার পরামর্শ দেন। মূল প্রতিরক্ষামূলক পদক্ষেপগুলির মধ্যে রয়েছে:
রাউটিংয়ের জন্য ডায়নামিক ট্যাগ ব্যবহার করা এড়িয়ে চলুন এবং ট্যাগ-চালিত পাথ সম্প্রসারণ বা ট্র্যাভার্সাল প্রতিরোধ করতে আউটপুট পাথ সীমাবদ্ধ করুন।
/fluent-bit/etc/ এর মতো কনফিগারেশন ডিরেক্টরিগুলিকে শুধুমাত্র পঠনযোগ্য হিসেবে মাউন্ট করুন, রানটাইম ম্যানিপুলেশন ব্লক করুন এবং নন-রুট অ্যাকাউন্টের অধীনে Fluent Bit চালান।
পূর্ববর্তী আবিষ্কারের প্রেক্ষাপট
এই প্রকাশটি এক বছরেরও বেশি সময় আগে রিপোর্ট করা ফ্লুয়েন্ট বিটের একটি দুর্বলতা অনুসরণ করে: CVE‑2024‑4323, যা লিঙ্গুইস্টিক লম্বারজ্যাক নামেও পরিচিত। এই ত্রুটিটি এজেন্টের অন্তর্নির্মিত HTTP সার্ভারকে প্রভাবিত করেছিল এবং দৃষ্টান্তগুলিকে DoS শর্ত, ডেটা এক্সপোজার বা রিমোট কোড এক্সিকিউশনের সংস্পর্শে এনেছিল। নতুন চিহ্নিত সমস্যাগুলি ক্লাউড পর্যবেক্ষণযোগ্যতার ভিত্তি তৈরি করে এমন টেলিমেট্রি সরঞ্জামগুলি সুরক্ষিত করার অব্যাহত গুরুত্বকে তুলে ধরে।
