Kerentanan Keselamatan Bit Fasih
Penyelidikan yang dijalankan telah mendedahkan lima isu keselamatan yang teruk dalam Fluent Bit, ejen telemetri sumber terbuka yang digunakan secara meluas. Apabila dirantai bersama, kelemahan ini memberikan pelaku ancaman berbilang laluan untuk merebut kawalan aset awan, mengganggu integriti log atau mengganggu ketersediaan perkhidmatan merentas awan dan persekitaran Kubernetes.
Isi kandungan
Bagaimana Penyerang Boleh Mengeksploitasi Kepincangan
Kecacatan yang ditemui secara kolektif membuka pintu kepada pintasan pengesahan, manipulasi fail, pelaksanaan kod jauh, gangguan perkhidmatan dan gangguan teg. Jika bersenjata, mereka menyediakan penceroboh dengan keupayaan untuk merosakkan log, menutup aktiviti berniat jahat, menyuntik telemetri yang direka dan berputar lebih dalam ke dalam infrastruktur awan.
Pecahan CVE yang Dikenal pasti
Kerentanan berikut menggambarkan betapa luasnya permukaan serangan apabila Fluent Bit memproses input yang tidak dipercayai:
- CVE‑2025‑12972 – Kelemahan lintasan laluan yang terikat dengan nilai teg tidak bersih yang digunakan untuk menjana nama fail. Ini mendedahkan sistem kepada penulisan fail sewenang-wenangnya, gangguan log dan kemungkinan pelaksanaan kod.
- CVE‑2025‑12970 – Limpahan penimbal tindanan dalam pemalam input Docker Metrics (in_docker). Membuat bekas dengan nama yang terlalu panjang boleh mencetuskan ranap sistem atau mengakibatkan pelaksanaan kod jauh.
- CVE‑2025‑12978 – Kesilapan logik dalam pemadanan teg yang membenarkan teg dipercayai palsu dengan meneka hanya aksara awal Tag_Key, membolehkan penyerang mengubah hala log, memintas penapisan dan menyuntik rekod yang dimanipulasi.
- CVE‑2025‑12977 – Pengesahan teg yang tidak betul yang diperoleh daripada medan kawalan penyerang. Input berniat jahat boleh menyuntik jujukan traversal, baris baharu atau aksara kawalan yang merosakkan saluran paip log hiliran.
- CVE‑2025‑12969 – Pengesahan tiada dalam pemalam in_forward yang digunakan oleh tika Fluent Bit yang berkomunikasi melalui protokol Forward. Peninggalan ini membenarkan suntikan log palsu atau membanjiri alat keselamatan hiliran dengan acara rekaan.
Potensi Impak pada Operasi Awan
Bersama-sama, kelemahan ini memberikan pengaruh yang luas terhadap cara Fluent Bit mengumpul, memproses dan menyimpan data telemetri. Penyerang yang ditentukan boleh mengubah hala atau menyekat peristiwa penting, menanam maklumat yang mengelirukan, memadam tanda pencerobohan atau mencetuskan pelaksanaan kod berniat jahat melalui log yang dimanipulasi. Memandangkan penggunaan Fluent Bit yang meluas, risiko ini mengancam kebolehpercayaan persekitaran awan perusahaan dan kebolehpercayaan infrastruktur pembalakan mereka.
Tampalan dan Bimbingan Vendor
Isu telah diselesaikan berikutan pendedahan yang diselaraskan, dengan pembetulan disediakan dalam Fluent Bit versi 4.1.1 dan 4.0.12, dikeluarkan pada Oktober 2025. AWS, yang turut mengambil bahagian dalam proses pendedahan, menasihatkan semua pelanggan yang menggunakan Fluent Bit untuk mengemas kini dengan segera untuk kekal dilindungi.
Cadangan Keselamatan
Untuk mengurangkan pendedahan dan mengukuhkan saluran paip pemantauan, pakar mengesyorkan mengetatkan konfigurasi dan menyekat permukaan serangan. Tindakan pertahanan utama termasuk:
Elakkan menggunakan teg dinamik untuk penghalaan dan hadkan laluan keluaran untuk menghalang pengembangan atau lintasan laluan dipacu teg.
Lekapkan direktori konfigurasi seperti /fluent-bit/etc/ sebagai baca-sahaja, sekat manipulasi masa jalan dan jalankan Fluent Bit di bawah akaun bukan akar.
Konteks Daripada Penemuan Terdahulu
Pendedahan ini mengikuti kerentanan Fluent Bit sebelumnya yang dilaporkan lebih setahun lebih awal: CVE‑2024‑4323, juga dikenali sebagai Linguistic Lumberjack. Cacat itu menjejaskan pelayan HTTP terbina dalam ejen dan kejadian terdedah kepada keadaan DoS, pendedahan data atau pelaksanaan kod jauh. Isu yang baru dikenal pasti menggariskan kepentingan berterusan untuk mendapatkan alat telemetri yang membentuk asas pemerhatian awan.
