Fluent Bit -tietoturvahaavoittuvuudet
Tehdyt tutkimukset ovat paljastaneet viisi vakavaa tietoturvaongelmaa Fluent Bitissä, laajalti käytössä olevassa avoimen lähdekoodin telemetria-agentissa. Yhdessä nämä heikkoudet antavat uhkatoimijoille useita polkuja ottaa haltuunsa pilviresurssit, häiritä lokien eheyttä tai häiritä palvelujen saatavuutta pilvi- ja Kubernetes-ympäristöissä.
Sisällysluettelo
Kuinka hyökkääjät voisivat hyödyntää puutteita
Paljastuneiden vikojen seurauksena voi ohittaa todennuksen, manipuloida tiedostoja, suorittaa koodia etänä, häiritä palveluita ja peukaloida tunnisteita. Aseina ne antavat tunkeilijalle mahdollisuuden vioittaa lokeja, peittää haitallista toimintaa, syöttää tekaistuja telemetriatietoja ja tunkeutua syvemmälle pilvi-infrastruktuuriin.
Tunnistettujen CVE-tapausten erittely
Seuraavat haavoittuvuudet havainnollistavat, kuinka laajaksi hyökkäyspinta muuttuu, kun Fluent Bit käsittelee epäluotettavaa syötettä:
- CVE‑2025‑12972 – Polun läpikulkuun liittyvä heikkous, joka liittyy tiedostonimien luomiseen käytettyihin puhdistamattomiin tagiarvoihin. Tämä altistaa järjestelmät mielivaltaisille tiedostokirjoituksille, lokien peukaloinnille ja mahdolliselle koodin suorittamiselle.
- CVE‑2025‑12970 – Pinopuskurin ylivuoto Docker Metrics -syöttölaajennuksessa (in_docker). Liian pitkien nimien sisältävien säilöjen luominen saattoi aiheuttaa kaatumisen tai johtaa koodin suorittamiseen etänä.
- CVE-2025-12978 – Tagien yhteensovittamisen logiikkavirhe, joka mahdollistaa väärennettyjen luotettavien tagien luomisen arvaamalla vain Tag_Key-avaimen alkukirjaimen. Tämä antaa hyökkääjille mahdollisuuden reitittää lokit uudelleen, ohittaa suodatuksen ja lisätä manipuloituja tietueita.
- CVE-2025-12977 – Hyökkääjän hallitsemista kentistä johdettujen tunnisteiden virheellinen validointi. Haitallinen syöte voi lisätä läpikulkusarjoja, rivinvaihtoja tai ohjausmerkkejä, jotka vääristävät alavirran lokitietoja.
- CVE‑2025‑12969 – Puuttuva todennus Fluent Bit -instanssien käyttämässä in_forward-laajennuksessa, jota käytetään Forward-protokollan kautta kommunikoinnissa. Tämä puute mahdollistaa väärennettyjen lokien injektoinnin tai tekaistujen tapahtumien lähettämisen alavirran suojaustyökaluihin.
Mahdollinen vaikutus pilvipalveluihin
Yhdessä nämä haavoittuvuudet antavat laajan vaikutusvallan siihen, miten Fluent Bit kerää, käsittelee ja tallentaa telemetriatietoja. Määrätietoinen hyökkääjä voi ohjata tai peittää tärkeitä tapahtumia, sijoittaa harhaanjohtavia tietoja, poistaa tunkeutumisen merkkejä tai laukaista haitallisen koodin suorittamisen manipuloitujen lokien avulla. Fluent Bitin laajan käyttöönoton vuoksi nämä riskit uhkaavat yritysten pilviympäristöjen ja niiden lokitietoinfrastruktuurin luotettavuutta.
Korjaukset ja toimittajien ohjeet
Ongelmat ratkaistiin koordinoidun julkistuksen jälkeen, ja korjaukset sisältyivät Fluent Bitin versioihin 4.1.1 ja 4.0.12, jotka julkaistiin lokakuussa 2025. AWS, joka myös osallistui julkistusprosessiin, kehottaa kaikkia Fluent Bitiä käyttäviä asiakkaita päivittämään sovelluksensa viipymättä suojauksen säilyttämiseksi.
Turvallisuussuositukset
Altistumisen vähentämiseksi ja valvontaputkien vahvistamiseksi asiantuntijat suosittelevat konfiguraation tiukentamista ja hyökkäyspintojen rajoittamista. Keskeisiä puolustustoimenpiteitä ovat:
Vältä dynaamisten tunnisteiden käyttöä reititykseen ja rajoita tulostuspolkuja estääksesi tunnisteiden ohjaaman polun laajentumisen tai läpikulun.
Liitä määrityshakemistot, kuten /fluent-bit/etc/, vain luku -tilassa, estä ajonaikainen manipulointi ja suorita Fluent Bit muilla kuin pääkäyttäjän tileillä.
Konteksti aiemmista löydöistä
Tämä paljastus seuraa yli vuotta aiemmin raportoitua Fluent Bit -haavoittuvuutta: CVE-2024-4323, joka tunnetaan myös nimellä Linguistic Lumberjack. Tämä vika vaikutti agentin sisäänrakennettuun HTTP-palvelimeen ja altisti instanssit palvelunestohyökkäyksille, tietojen paljastumiselle tai koodin etäsuoritukselle. Uudet havaitut ongelmat korostavat pilvipalveluiden havaittavuuden perustan muodostavien telemetriatyökalujen suojaamisen jatkuvaa tärkeyttä.
