آسیب‌پذیری‌های امنیتی Fluent Bit

تحقیقات انجام‌شده، پنج مشکل امنیتی جدی را در Fluent Bit، یک عامل تله‌متری متن‌باز که به‌طور گسترده مستقر است، آشکار کرده است. وقتی این نقاط ضعف با هم ترکیب شوند، به مهاجمان مسیرهای متعددی برای به دست گرفتن کنترل دارایی‌های ابری، تداخل در یکپارچگی گزارش‌ها یا اختلال در دسترسی به سرویس در محیط‌های ابری و Kubernetes می‌دهند.

چگونه مهاجمان می‌توانند از این نقص‌ها سوءاستفاده کنند

نقص‌های کشف‌شده در مجموع، راه را برای دور زدن احراز هویت، دستکاری فایل‌ها، اجرای کد از راه دور، اختلال در سرویس و دستکاری تگ‌ها باز می‌کنند. در صورت استفاده‌ی ابزاری، به یک مهاجم این امکان را می‌دهند که لاگ‌ها را خراب کند، فعالیت‌های مخرب را پنهان کند، تله‌متری جعلی تزریق کند و به زیرساخت‌های ابری نفوذ عمیق‌تری داشته باشد.

تفکیک CVE های شناسایی شده

آسیب‌پذیری‌های زیر نشان می‌دهند که وقتی Fluent Bit ورودی‌های غیرقابل اعتماد را پردازش می‌کند، سطح حمله چقدر گسترده می‌شود:

• CVE‑2025‑12972 - یک ضعف پیمایش مسیر مرتبط با مقادیر برچسب‌گذاری نشده که برای تولید نام فایل‌ها استفاده می‌شوند. این امر سیستم‌ها را در معرض نوشتن فایل دلخواه، دستکاری گزارش‌ها و اجرای کد بالقوه قرار می‌دهد.
• CVE‑2025‑12970 - سرریز بافر پشته در افزونه ورودی Docker Metrics (in_docker). ساخت کانتینرهایی با نام‌های بیش از حد طولانی می‌تواند باعث خرابی یا اجرای کد از راه دور شود.
• CVE‑2025‑12978 - یک نقص منطقی در تطبیق برچسب که امکان جعل برچسب‌های مورد اعتماد را با حدس زدن تنها کاراکتر اولیه یک Tag_Key فراهم می‌کند و مهاجمان را قادر می‌سازد تا لاگ‌ها را تغییر مسیر دهند، فیلترینگ را دور بزنند و رکوردهای دستکاری‌شده را تزریق کنند.
• CVE‑2025‑12977 - اعتبارسنجی نامناسب تگ‌های مشتق‌شده از فیلدهای تحت کنترل مهاجم. ورودی مخرب ممکن است توالی‌های پیمایش، خطوط جدید یا کاراکترهای کنترلی را تزریق کند که خطوط لوله گزارش پایین‌دست را خراب می‌کنند.
• CVE‑2025‑12969 - فقدان احراز هویت در افزونه in_forward که توسط نمونه‌های Fluent Bit که از طریق پروتکل Forward ارتباط برقرار می‌کنند، استفاده می‌شود. این نقص، تزریق لاگ‌های جعلی یا هجوم رویدادهای ساختگی به ابزارهای امنیتی پایین‌دست را امکان‌پذیر می‌کند.

تأثیر بالقوه بر عملیات ابری

این آسیب‌پذیری‌ها در کنار هم، تأثیر گسترده‌ای بر نحوه جمع‌آوری، پردازش و ذخیره داده‌های تله‌متری توسط Fluent Bit می‌گذارند. یک مهاجم مصمم ممکن است رویدادهای ضروری را تغییر مسیر داده یا سرکوب کند، اطلاعات گمراه‌کننده‌ای را جاسازی کند، علائم نفوذ را پاک کند یا از طریق لاگ‌های دستکاری‌شده، اجرای کد مخرب را آغاز کند. با توجه به استفاده گسترده از Fluent Bit، این خطرات، قابلیت اطمینان محیط‌های ابری سازمانی و قابل اعتماد بودن زیرساخت لاگ‌گیری آنها را تهدید می‌کند.

وصله‌ها و راهنمای فروشنده

این مشکلات پس از افشای هماهنگ‌شده، با اصلاحاتی که در نسخه‌های ۴.۱.۱ و ۴.۰.۱۲ نرم‌افزار Fluent Bit که در اکتبر ۲۰۲۵ منتشر شد، ارائه شد، برطرف شدند. AWS که در فرآیند افشای اطلاعات نیز شرکت داشت، به همه مشتریانی که از Fluent Bit استفاده می‌کنند توصیه می‌کند که برای حفظ امنیت، فوراً به‌روزرسانی کنند.

توصیه‌های امنیتی

برای کاهش میزان مواجهه و تقویت خطوط لوله نظارت، کارشناسان توصیه می‌کنند پیکربندی را سفت‌تر کرده و سطوح حمله را محدود کنید. اقدامات دفاعی کلیدی عبارتند از:

از استفاده از تگ‌های پویا برای مسیریابی خودداری کنید و مسیرهای خروجی را محدود کنید تا از گسترش یا پیمایش مسیر توسط تگ جلوگیری شود.

دایرکتوری‌های پیکربندی مانند /fluent-bit/etc/ را به صورت فقط خواندنی mount کنید، دستکاری در زمان اجرا را مسدود کنید و Fluent Bit را تحت حساب‌های کاربری غیر ریشه اجرا کنید.

زمینه از اکتشافات قبلی

این افشاگری پس از یک آسیب‌پذیری قبلی Fluent Bit که بیش از یک سال قبل گزارش شده بود، صورت می‌گیرد: CVE‑2024‑4323، که با نام Linguistic Lumberjack نیز شناخته می‌شود. این نقص بر سرور HTTP داخلی عامل تأثیر می‌گذاشت و مواردی را در معرض شرایط DoS، افشای داده‌ها یا اجرای کد از راه دور قرار می‌داد. مسائل تازه شناسایی شده، اهمیت مداوم ایمن‌سازی ابزارهای تله‌متری را که پایه و اساس قابلیت مشاهده ابری را تشکیل می‌دهند، برجسته می‌کند.