„Fluent Bit“ saugumo pažeidžiamumai
Atlikti tyrimai atskleidė penkias rimtas saugumo problemas, susijusias su plačiai naudojamu atvirojo kodo telemetrijos agentu „Fluent Bit“. Sujungtos šios silpnosios vietos suteikia grėsmių veikėjams daug būdų perimti debesijos išteklių kontrolę, sutrikdyti žurnalų vientisumą arba sutrikdyti paslaugų prieinamumą debesijos ir „Kubernetes“ aplinkose.
Turinys
Kaip užpuolikai galėtų išnaudoti trūkumus
Aptikti defektai kartu atveria duris autentifikavimo apėjimui, failų manipuliavimui, nuotoliniam kodo vykdymui, paslaugų sutrikdymui ir žymų klastojimui. Jei jie panaudojami kaip ginklas, įsilaužėlis gali sugadinti žurnalus, užmaskuoti kenkėjišką veiklą, įdiegti suklastotą telemetriją ir giliau patekti į debesų infrastruktūrą.
Nustatytų CVE suskirstymas
Šie pažeidžiamumai iliustruoja, koks platus tampa atakų paviršius, kai „Fluent Bit“ apdoroja nepatikimą įvestį:
- CVE‑2025‑12972 – Kelio apėjimo silpnybė, susijusi su neapdorotomis žymų reikšmėmis, naudojamomis failų pavadinimams generuoti. Dėl to sistemos tampa pažeidžiamos savavališko failų įrašymo, žurnalų klastojimo ir galimo kodo vykdymo.
- CVE‑2025‑12970 – „Docker Metrics“ įvesties papildinio (in_docker) steko buferio perpildymas. Konteinerių su per ilgais pavadinimais kūrimas galėjo sukelti gedimą arba nuotolinį kodo vykdymą.
- CVE‑2025‑12978 – Loginis žymų atitikimo trūkumas, leidžiantis suklastoti patikimas žymas atspėjant tik pirmąjį „Tag_Key“ simbolį, todėl užpuolikai gali nukreipti žurnalus, apeiti filtravimą ir įterpti manipuliuotus įrašus.
- CVE‑2025‑12977 – Netinkamas iš užpuoliko kontroliuojamų laukų gautų žymų patvirtinimas. Kenkėjiška įvestis gali įterpti apėjimo sekas, naujas eilutes arba valdymo simbolius, kurie sugadina grįžtamojo ryšio žurnalų srautus.
- CVE‑2025‑12969 – Trūksta autentifikavimo „in_forward“ papildinyje, kurį naudoja „Fluent Bit“ egzemplioriai, bendraujantys per „Forward“ protokolą. Dėl šio trūkumo galima įterpti suklastotus žurnalus arba užtvindyti žemyn nukreiptas saugos priemones suklastotais įvykiais.
Galimas poveikis debesijos operacijoms
Šie pažeidžiamumai kartu suteikia didelę įtaką tam, kaip „Fluent Bit“ renka, apdoroja ir saugo telemetrijos duomenis. Ryžtingas užpuolikas gali nukreipti arba nuslėpti svarbius įvykius, pateikti klaidinančią informaciją, ištrinti įsilaužimo požymius arba sukelti kenkėjiško kodo vykdymą naudodamas manipuliuojamus žurnalus. Atsižvelgiant į platų „Fluent Bit“ naudojimą, ši rizika kelia grėsmę įmonių debesijos aplinkų patikimumui ir jų registravimo infrastruktūros patikimumui.
Pataisymai ir tiekėjų gairės
Problemos buvo išspręstos po koordinuoto atskleidimo, o pataisymai pateikti „Fluent Bit“ 4.1.1 ir 4.0.12 versijose, išleistose 2025 m. spalio mėn. AWS, kuri taip pat dalyvavo atskleidimo procese, pataria visiems „Fluent Bit“ naudojantiems klientams nedelsiant atnaujinti programą, kad išliktų apsaugoti.
Saugumo rekomendacijos
Siekiant sumažinti poveikį ir sustiprinti stebėjimo kanalus, ekspertai rekomenduoja griežtinti konfigūraciją ir apriboti atakos paviršius. Pagrindiniai gynybiniai veiksmai apima:
Maršrutui parinkti venkite naudoti dinamines žymas ir apribokite išvesties kelius, kad išvengtumėte žymomis pagrįsto kelio išplėtimo ar perėjimo.
Prijunkite konfigūracijos katalogus, tokius kaip /fluent-bit/etc/, kaip tik skaitymui skirtus, blokuokite vykdymo laiko manipuliavimą ir paleiskite „Fluent Bit“ ne root paskyrose.
Kontekstas iš ankstesnių atradimų
Šis atskleidimas susijęs su ankstesniu „Fluent Bit“ pažeidžiamumu, apie kurį pranešta daugiau nei prieš metus: CVE‑2024‑4323, dar žinomu kaip „Linguistic Lumberjack“. Šis trūkumas paveikė agento integruotą HTTP serverį ir atvėrė instancijas DoS sąlygoms, duomenų atskleidimui arba nuotoliniam kodo vykdymui. Naujai nustatytos problemos pabrėžia, kaip svarbu užtikrinti telemetrijos įrankių, kurie yra debesijos stebimumo pagrindas, saugumą.
