Fluent Biti turvanõrkused
Läbiviidud uuringud on toonud esile viis tõsist turvaprobleemi laialdaselt kasutatavas avatud lähtekoodiga telemeetriaagendis Fluent Bitis. Kokku aheldatuna annavad need nõrkused ohutegelastele mitu võimalust pilvevarade üle kontrolli haarata, logide terviklikkust häirida või teenuste kättesaadavust pilve- ja Kubernetes-keskkondades häirida.
Sisukord
Kuidas ründajad saaksid vigu ära kasutada
Paljastatud defektid avavad ukse autentimisest möödahiilimiseks, failide manipuleerimiseks, koodi kaugkäivitamiseks, teenuse katkestuste tegemiseks ja siltide võltsimiseks. Relvana kasutamisel annavad need sissetungijale võimaluse logisid rikkuda, pahatahtlikku tegevust varjata, võltsitud telemeetriat süstida ja sügavamale pilveinfrastruktuuri tungida.
Tuvastatud CVE-de jaotus
Järgmised haavatavused illustreerivad, kui laiaks muutub rünnakupind, kui Fluent Bit töötleb ebausaldusväärset sisendit:
- CVE‑2025‑12972 – Failinimede genereerimiseks kasutatavate puhastamata siltide väärtustega seotud teekonna läbimise nõrkus. See avab süsteemid suvalistele failikirjutustele, logide muutmisele ja potentsiaalsele koodi käivitamisele.
- CVE‑2025‑12970 – Docker Metricsi sisendpluginas (in_docker) esinev pinu puhvri ületäitumine. Liiga pikkade nimedega konteinerite loomine võib põhjustada krahhi või koodi kaugkäivitamise.
- CVE‑2025‑12978 – Siltide sobitamise loogiline viga, mis võimaldab võltsitud usaldusväärsete siltide loomist, arvates ära ainult Tag_Key algtähe, võimaldades ründajatel logisid ümber suunata, filtreerimist mööda hiilida ja manipuleeritud kirjeid sisestada.
- CVE-2025-12977 – Ründaja kontrollitud väljadelt saadud siltide vale valideerimine. Pahatahtlik sisend võib sisestada läbimisjadasid, ridadevahelisi märke või juhtmärke, mis rikuvad allavoolu logide torujuhtmeid.
- CVE‑2025‑12969 – Puudub autentimine in_forward pluginas, mida kasutavad Forward protokolli kaudu suhtlevad Fluent Biti eksemplarid. See puudujääk võimaldab võltsitud logide sisestamist või allavoolu turvatööriistade üleujutamist väljamõeldud sündmustega.
Võimalik mõju pilveteenustele
Need haavatavused annavad Fluent Bitile ulatusliku mõjuvõimu telemeetriaandmete kogumise, töötlemise ja salvestamise üle. Sihikindel ründaja võib manipuleeritud logide kaudu olulisi sündmusi ümber suunata või summutada, paigutada eksitavat teavet, kustutada sissetungi märke või käivitada pahatahtliku koodi. Arvestades Fluent Biti laialdast kasutuselevõttu, ohustavad need riskid ettevõtte pilvekeskkondade ja nende logimisinfrastruktuuri usaldusväärsust.
Paigad ja müüja juhised
Probleemid lahendati pärast koordineeritud avalikustamist ning parandused pakuti välja Fluent Biti versioonides 4.1.1 ja 4.0.12, mis avaldati 2025. aasta oktoobris. AWS, kes osales samuti avalikustamisprotsessis, soovitab kõigil Fluent Biti kasutavatel klientidel oma kaitse säilitamiseks viivitamatult uuendada.
Turvalisuse soovitused
Riski vähendamiseks ja seirekanalite tugevdamiseks soovitavad eksperdid konfiguratsiooni karmistada ja rünnakupindu piirata. Peamised kaitsemeetmed hõlmavad järgmist:
Vältige marsruutimiseks dünaamiliste siltide kasutamist ja piirake väljundteid, et vältida siltidepõhist tee laiendamist või läbimist.
Paigalda konfiguratsioonikataloogid, näiteks /fluent-bit/etc/, kirjutuskaitstud kujul, blokeeri käitusaja manipuleerimine ja käita Fluent Biti mitte-juurkasutaja kontode all.
Varasemate avastuste kontekst
See avalikustamine järgneb varasemale Fluent Biti haavatavusele, millest teatati enam kui aasta varem: CVE-2024-4323, tuntud ka kui Linguistic Lumberjack. See viga mõjutas agendi sisseehitatud HTTP-serverit ja avas eksemplarid teenusetõkestamise (DoS) tingimuste, andmete avalikustamise või koodi kaugkäivitamise ohtu. Uued tuvastatud probleemid rõhutavad telemeetriatööriistade turvamise jätkuvat olulisust, mis moodustavad pilvepõhise jälgitavuse aluse.
