Sigurnosne ranjivosti Fluent Bita
Provedeno istraživanje otkrilo je pet ozbiljnih sigurnosnih problema unutar Fluent Bita, široko rasprostranjenog telemetrijskog agenta otvorenog koda. Kada se povežu zajedno, ove slabosti daju prijetnjama višestruke puteve za preuzimanje kontrole nad cloud imovinom, ometanje integriteta logova ili prekid dostupnosti usluga u cloud i Kubernetes okruženjima.
Sadržaj
Kako napadači mogu iskoristiti nedostatke
Neotkriveni nedostaci zajedno otvaraju vrata zaobilaženju autentifikacije, manipulaciji datotekama, udaljenom izvršavanju koda, prekidu usluge i manipuliranju oznakama. Ako se iskoriste kao oružje, uljezu omogućuju oštećenje logova, maskiranje zlonamjernih aktivnosti, ubrizgavanje lažne telemetrije i dublje prodiranje u infrastrukturu oblaka.
Raspodjela identificiranih CVE-ova
Sljedeće ranjivosti ilustriraju koliko široka postaje površina napada kada Fluent Bit obrađuje nepouzdane ulazne podatke:
- CVE‑2025‑12972 – Slabost u prolasku puta povezana s korištenjem nesteriliziranih vrijednosti oznaka za generiranje naziva datoteka. To izlaže sustave proizvoljnom pisanju u datoteke, mijenjanju zapisnika i potencijalnom izvršavanju koda.
- CVE‑2025‑12970 – Prelijevanje međuspremnika stoga u dodatku za unos Docker Metrics (in_docker). Izrada kontejnera s predugim nazivima može izazvati rušenje ili rezultirati udaljenim izvršavanjem koda.
- CVE‑2025‑12978 – Logička greška u podudaranju oznaka koja omogućuje lažiranje pouzdanih oznaka pogađanjem samo početnog znaka Tag_Key, što napadačima omogućuje preusmjeravanje logova, zaobilaženje filtriranja i ubacivanje manipuliranih zapisa.
- CVE‑2025‑12977 – Nepravilna validacija oznaka izvedenih iz polja koje kontrolira napadač. Zlonamjerni unos može ubrizgati prolazne sekvence, znakove za novi red ili kontrolne znakove koji oštećuju nizvodne cjevovode zapisnika.
- CVE‑2025‑12969 – Nedostaje autentifikacija u dodatku in_forward koji koriste instance Fluent Bita koje komuniciraju putem Forward protokola. Ovaj izostanak omogućuje ubrizgavanje krivotvorenih logova ili preplavljivanje sigurnosnih alata nizvodno izmišljenim događajima.
Potencijalni utjecaj na operacije u oblaku
Zajedno, ove ranjivosti daju opsežan utjecaj na način na koji Fluent Bit prikuplja, obrađuje i pohranjuje telemetrijske podatke. Odlučni napadač može preusmjeriti ili potisnuti bitne događaje, podmetnuti obmanjujuće informacije, izbrisati znakove upada ili pokrenuti izvršavanje zlonamjernog koda putem manipuliranih zapisnika. S obzirom na široku primjenu Fluent Bita, ovi rizici ugrožavaju pouzdanost poslovnih cloud okruženja i pouzdanost njihove infrastrukture za bilježenje.
Zakrpe i smjernice dobavljača
Problemi su riješeni nakon koordiniranog otkrivanja, a ispravci su uključeni u verzije Fluent Bita 4.1.1 i 4.0.12, objavljene u listopadu 2025. AWS, koji je također sudjelovao u procesu otkrivanja, savjetuje svim korisnicima Fluent Bita da odmah ažuriraju softver kako bi ostali zaštićeni.
Sigurnosne preporuke
Kako bi se smanjila izloženost i ojačali kanali za praćenje, stručnjaci preporučuju pooštravanje konfiguracije i ograničavanje površina za napad. Ključne obrambene akcije uključuju:
Izbjegavajte korištenje dinamičkih oznaka za usmjeravanje i ograničite izlazne putove kako biste spriječili širenje ili prolazak puta vođen oznakama.
Montirajte konfiguracijske direktorije kao što je /fluent-bit/etc/ kao samo za čitanje, blokirajte manipulaciju tijekom izvođenja i pokrenite Fluent Bit pod računima koji nisu root.
Kontekst ranijih otkrića
Ovo otkriće slijedi prethodnu ranjivost Fluent Bita prijavljenu više od godinu dana ranije: CVE‑2024‑4323, poznatu i kao Linguistic Lumberjack. Ta je ranjivost utjecala na ugrađeni HTTP poslužitelj agenta i izložila instance DoS uvjetima, izloženosti podataka ili udaljenom izvršavanju koda. Novootkriveni problemi naglašavaju kontinuiranu važnost osiguranja telemetrijskih alata koji čine temelj vidljivosti u oblaku.
