Fluent Bit drošības ievainojamības

Veiktie pētījumi ir atklājuši piecas nopietnas drošības problēmas Fluent Bit, plaši izmantotā atvērtā pirmkoda telemetrijas aģentā. Apvienojot šīs vājās vietas, tās sniedz apdraudējumu dalībniekiem vairākus ceļus, lai pārņemtu mākoņa resursu kontroli, traucētu žurnālu integritāti vai pārtrauktu pakalpojumu pieejamību mākoņa un Kubernetes vidēs.

Kā uzbrucēji varētu izmantot trūkumus

Atklātie defekti kopumā paver durvis autentifikācijas apiešanai, failu manipulēšanai, attālinātai koda izpildei, pakalpojumu pārtraukšanai un tagu viltošanai. Ja tie tiek izmantoti kā ieroči, tie dod iebrucējam iespēju sabojāt žurnālus, maskēt ļaunprātīgas darbības, ievadīt safabricētus telemetrijas datus un ielauzties dziļāk mākoņinfrastruktūrā.

Identificēto CVE sadalījums

Šīs ievainojamības ilustrē, cik plaša kļūst uzbrukuma virsma, kad Fluent Bit apstrādā neuzticamu ievadi:

• CVE‑2025‑12972 — ceļa šķērsošanas ievainojamība, kas saistīta ar neattīrītu tagu vērtību izmantošanu failu nosaukumu ģenerēšanai. Tas pakļauj sistēmas patvaļīgai failu ierakstīšanai, žurnālu manipulācijām un iespējamai koda izpildei.
• CVE‑2025‑12970 – Steka bufera pārpilde Docker Metrics ievades spraudnī (in_docker). Konteineru izveide ar pārāk gariem nosaukumiem var izraisīt avāriju vai attālinātu koda izpildi.
• CVE‑2025‑12978 — loģikas kļūda tagu salīdzināšanā, kas ļauj viltot uzticamus tagus, uzminot tikai Tag_Key sākotnējo rakstzīmi, ļaujot uzbrucējiem novirzīt žurnālus, apiet filtrēšanu un ievietot manipulētus ierakstus.
• CVE‑2025‑12977 – Nepareiza no uzbrucēja kontrolētiem laukiem iegūto tagu validācija. Ļaunprātīga ievade var ievadīt šķērsošanas secības, jaunas rindiņas vai vadības rakstzīmes, kas bojā lejupējos žurnālu kanālus.
• CVE‑2025‑12969 – Trūkst autentifikācijas spraudnī in_forward, ko izmanto Fluent Bit instances, sazinoties, izmantojot Forward protokolu. Šī nepilnība ļauj injicēt viltotus žurnālus vai pārpludināt lejupējos drošības rīkus ar safabricētiem notikumiem.

Iespējamā ietekme uz mākoņa darbībām

Kopā šīs ievainojamības piešķir plašu ietekmi uz to, kā Fluent Bit vāc, apstrādā un uzglabā telemetrijas datus. Apņēmīgs uzbrucējs var novirzīt vai slēpt svarīgus notikumus, ievietot maldinošu informāciju, dzēst ielaušanās pazīmes vai izraisīt ļaunprātīga koda izpildi, izmantojot manipulētus žurnālus. Ņemot vērā Fluent Bit plašo izmantošanu, šie riski apdraud uzņēmumu mākoņvides uzticamību un to reģistrēšanas infrastruktūras ticamību.

Ielāpi un pārdevēju norādījumi

Problēmas tika atrisinātas pēc koordinētas informācijas atklāšanas, un labojumi tika nodrošināti Fluent Bit versijās 4.1.1 un 4.0.12, kas tika izlaistas 2025. gada oktobrī. AWS, kas arī piedalījās informācijas atklāšanas procesā, iesaka visiem klientiem, kas izmanto Fluent Bit, nekavējoties veikt atjauninājumus, lai saglabātu aizsardzību.

Drošības ieteikumi

Lai samazinātu atkarību un stiprinātu uzraudzības sistēmas, eksperti iesaka sašaurināt konfigurāciju un ierobežot uzbrukuma virsmas. Galvenās aizsardzības darbības ietver:

Izvairieties no dinamisko tagu izmantošanas maršrutēšanai un ierobežojiet izvades ceļus, lai novērstu tagu vadītu ceļa paplašināšanu vai šķērsošanu.

Pievienojiet konfigurācijas direktorijus, piemēram, /fluent-bit/etc/, kā tikai lasāmus, bloķējiet izpildlaika manipulācijas un palaidiet Fluent Bit ar ne-root kontiem.

Konteksts no agrākiem atklājumiem

Šī atklāšana seko iepriekšējai Fluent Bit ievainojamībai, par kuru ziņots vairāk nekā gadu iepriekš: CVE‑2024‑4323, kas pazīstama arī kā Linguistic Lumberjack. Šī nepilnība ietekmēja aģenta iebūvēto HTTP serveri un pakļāva instances DoS nosacījumiem, datu izpaušanai vai attālinātai koda izpildei. Jaunatklātās problēmas uzsver telemetrijas rīku, kas veido mākoņa novērojamības pamatu, drošības pastāvīgo nozīmi.