Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Vulnerabilitat Vulnerabilitats de seguretat de Fluent Bit

Vulnerabilitats de seguretat de Fluent Bit

El Mezo el Vulnerabilitat
Traduir a:

Una investigació realitzada ha posat de manifest cinc problemes de seguretat greus dins de Fluent Bit, un agent de telemetria de codi obert àmpliament desplegat. Quan s'encadenen, aquestes debilitats ofereixen als actors d'amenaces múltiples camins per prendre el control dels actius al núvol, interferir amb la integritat del registre o interrompre la disponibilitat del servei en entorns de núvol i Kubernetes.

Com els atacants podrien explotar els defectes

Els defectes descoberts obren conjuntament la porta a l'elusió de l'autenticació, la manipulació de fitxers, l'execució remota de codi, la interrupció del servei i la manipulació d'etiquetes. Si es converteixen en armes, proporcionen a un intrús la capacitat de corrompre registres, emmascarar activitat maliciosa, injectar telemetria fabricada i pivotar més profundament cap a la infraestructura del núvol.

Desglossament dels CVE identificats

Les vulnerabilitats següents il·lustren l'amplitud de la superfície d'atac quan Fluent Bit processa dades d'entrada no fiables:

  • CVE‑2025‑12972: una debilitat de travessia de camins relacionada amb valors d'etiquetes no sanejats que s'utilitzen per generar noms de fitxer. Això exposa els sistemes a escriptures arbitràries de fitxers, manipulació de registres i possible execució de codi.
  • CVE‑2025‑12970 – Un desbordament de la memòria intermèdia de pila al connector d'entrada de Docker Metrics (in_docker). La creació de contenidors amb noms massa llargs podria provocar un bloqueig o provocar l'execució remota de codi.
  • CVE-2025-12978: una falla lògica en la coincidència d'etiquetes que permet etiquetes de confiança falsejades endevinant només el caràcter inicial d'una Tag_Key, cosa que permet als atacants redirigir registres, evitar el filtratge i injectar registres manipulats.
  • CVE-2025-12977 – Validació incorrecta d'etiquetes derivades de camps controlats per l'atacant. L'entrada maliciosa pot injectar seqüències de travessia, salts de línia o caràcters de control que corrompen les canonades de registre aigües avall.
  • CVE‑2025‑12969 – Falta autenticació al connector in_forward utilitzat per les instàncies de Fluent Bit que es comuniquen a través del protocol Forward. Aquesta omissió permet la injecció de registres falsificats o la inundació d'eines de seguretat posteriors amb esdeveniments fabricats.

Impacte potencial en les operacions al núvol

En conjunt, aquestes vulnerabilitats atorguen una àmplia influència sobre com Fluent Bit recopila, processa i emmagatzema dades de telemetria. Un atacant decidit pot redirigir o suprimir esdeveniments essencials, introduir informació enganyosa, esborrar signes d'intrusió o desencadenar l'execució de codi maliciós a través de registres manipulats. Donat l'àmplia adopció de Fluent Bit, aquests riscos amenacen la fiabilitat dels entorns de núvol empresarials i la confiança de la seva infraestructura de registre.

Pegats i guia del proveïdor

Els problemes es van resoldre després d'una divulgació coordinada, amb correccions proporcionades a les versions 4.1.1 i 4.0.12 de Fluent Bit, publicades a l'octubre de 2025. AWS, que també va participar en el procés de divulgació, aconsella a tots els clients que utilitzen Fluent Bit que s'actualitzin ràpidament per mantenir-se protegits.

Recomanacions de seguretat

Per reduir l'exposició i enfortir les canalitzacions de monitorització, els experts recomanen ajustar la configuració i restringir les superfícies d'atac. Les accions defensives clau inclouen:

Eviteu utilitzar etiquetes dinàmiques per a l'encaminament i restringiu els camins de sortida per evitar l'expansió o el recorregut de camins basats en etiquetes.

Munta directoris de configuració com ara /fluent-bit/etc/ com a només lectura, bloqueja la manipulació en temps d'execució i executa Fluent Bit amb comptes que no siguin root.

Context de descobriments anteriors

Aquesta divulgació segueix una vulnerabilitat anterior de Fluent Bit reportada fa més d'un any: CVE-2024-4323, també coneguda com a Linguistic Lumberjack. Aquesta falla afectava el servidor HTTP integrat de l'agent i exposava les instàncies a condicions de DoS, exposició de dades o execució remota de codi. Els problemes recentment identificats subratllen la importància contínua de protegir les eines de telemetria que constitueixen la base de l'observabilitat al núvol.

Tendència

Més vist

Carregant...