פגיעויות אבטחה של Fluent Bit
מחקר שנערך חשף חמש בעיות אבטחה חמורות ב-Fluent Bit, סוכן טלמטריה בקוד פתוח הנפרס באופן נרחב. כאשר חולשות אלו משולבות יחד, הן נותנות לגורמי איום מספר דרכים להשתלט על נכסי ענן, להפריע לשלמות יומני הרישום או לשבש את זמינות השירות בסביבות ענן וקוברנטס.
תוכן העניינים
כיצד תוקפים יכלו לנצל את הפגמים
הפגמים שנחשפו פותחים יחד את הדלת לעקיפת אימות, מניפולציה של קבצים, ביצוע קוד מרחוק, שיבושים בשירותים ופגיעה בתגים. אם הם הופכים לכלי נשק, הם מספקים לפורץ את היכולת לפגוע בלוגים, להסוות פעילות זדונית, להחדיר טלמטריה מפוברקת ולהעמיק בתשתית הענן.
פירוט של ה-CVEs שזוהו
הפגיעויות הבאות ממחישות עד כמה רחב משטח ההתקפה הופך כאשר Fluent Bit מעבד קלט לא אמין:
- CVE‑2025‑12972 – חולשה בחציית נתיבים הקשורה לערכי תגיות לא מטופלים המשמשים ליצירת שמות קבצים. נקודה זו חושפת מערכות לכתיבה שרירותית של קבצים, שיבוש יומנים וביצוע קוד אפשרי.
- CVE‑2025‑12970 – גלישת מאגר stack בתוסף הקלט Docker Metrics (in_docker). יצירת קונטיינרים עם שמות ארוכים מדי עלולה לגרום לקריסה או להרצת קוד מרחוק.
- CVE‑2025‑12978 – פגם לוגי בהתאמת תגים המאפשר תגים מהימנים מזויפים על ידי ניחוש התו הראשוני של Tag_Key בלבד, מה שמאפשר לתוקפים לנתב מחדש יומני רישום, לעקוף סינון ולהזריק רשומות שעברו מניפולציה.
- CVE‑2025‑12977 – אימות שגוי של תגים שמקורם בשדות הנשלטים על ידי תוקף. קלט זדוני עלול להזריק רצפי חצייה, שורות חדשות או תווי בקרה אשר יפגעו בצינורות יומן במורד הזרם.
- CVE‑2025‑12969 – חסר אימות בתוסף in_forward המשמש את מופעי Fluent Bit המתקשרים דרך פרוטוקול Forward. השמטה זו מאפשרת הזרקת יומני רישום מזויפים או הצפת כלי אבטחה במורד הזרם באירועים מפוברקים.
השפעה פוטנציאלית על פעילות ענן
יחד, פגיעויות אלו מעניקות השפעה נרחבת על האופן שבו Fluent Bit אוספת, מעבדת ומאחסנת נתוני טלמטריה. תוקף נחוש עלול להפנות מחדש או לדכא אירועים חיוניים, לשתול מידע מטעה, למחוק סימני חדירה או לעורר ביצוע קוד זדוני באמצעות יומני רישום מניפולטיביים. בהתחשב באימוץ הנרחב של Fluent Bit, סיכונים אלו מאיימים על אמינותן של סביבות ענן ארגוניות ועל אמינות תשתית הרישום שלהן.
תיקונים והנחיות לספקים
הבעיות נפתרו לאחר גילוי מתואם, כאשר תיקונים סופקו בגרסאות 4.1.1 ו-4.0.12 של Fluent Bit, שפורסמו באוקטובר 2025. AWS, שגם השתתפה בתהליך הגילוי, מייעצת לכל הלקוחות המשתמשים ב-Fluent Bit לעדכן בהקדם כדי להישאר מוגנים.
המלצות אבטחה
כדי להפחית את החשיפה ולחזק את צינורות הניטור, מומחים ממליצים להדק את התצורה ולהגביל את משטחי ההתקפה. פעולות הגנה מרכזיות כוללות:
הימנעו משימוש בתגים דינמיים לניתוב והגבלו נתיבי פלט כדי למנוע הרחבה או חצייה של נתיבים מונעי תגיות.
טעינת ספריות תצורה כגון /fluent-bit/etc/ כקריאה בלבד, חסימה של מניפולציה בזמן ריצה, והרצת Fluent Bit תחת חשבונות שאינם root.
ההקשר מתגליות קודמות
גילוי זה מגיע בעקבות פגיעות קודמת של Fluent Bit שדווחה יותר משנה קודם לכן: CVE-2024-4323, המכונה גם Lumberjack Linguistic. פגם זה השפיע על שרת ה-HTTP המובנה של הסוכן וחשף מופעים לתנאי DoS, חשיפת נתונים או ביצוע קוד מרחוק. הבעיות שזוהו לאחרונה מדגישות את החשיבות המתמשכת של אבטחת כלי טלמטריה המהווים את הבסיס לתצפיות בענן.
