Sikkerhetssårbarheter i Fluent Bit

Utført forskning har avdekket fem alvorlige sikkerhetsproblemer i Fluent Bit, en bredt distribuert telemetri-agent med åpen kildekode. Når disse svakhetene kobles sammen, gir de trusselaktører flere veier til å ta kontroll over skyressurser, forstyrre loggintegriteten eller forstyrre tjenestetilgjengeligheten på tvers av sky- og Kubernetes-miljøer.

Hvordan angripere kunne utnytte feilene

De avdekkede feilene åpner samlet sett døren for autentiseringsomgåelse, filmanipulering, ekstern kodekjøring, tjenesteavbrudd og tag-manipulering. Hvis de blir våpen, gir de en inntrenger muligheten til å korrumpere logger, maskere ondsinnet aktivitet, injisere fabrikkert telemetri og bevege seg dypere inn i skyinfrastrukturen.

Oversikt over de identifiserte CVE-ene

Følgende sårbarheter illustrerer hvor bred angrepsflaten blir når Fluent Bit behandler upålitelig inndata:

• CVE-2025-12972 – En svakhet ved stigjennomgang knyttet til usaniserte tagverdier som brukes til å generere filnavn. Dette eksponerer systemer for vilkårlig filskriving, loggmanipulering og potensiell kodekjøring.
• CVE‑2025‑12970 – En stakkbufferoverflyt i Docker Metrics-input-pluginen (in_docker). Å lage containere med altfor lange navn kan utløse et krasj eller føre til ekstern kjøring av kode.
• CVE‑2025‑12978 – En logisk feil i tag-matching som tillater forfalskede klarerte tagger ved å bare gjette det første tegnet i en Tag_Key, slik at angripere kan omdirigere logger, omgå filtrering og injisere manipulerte poster.
• CVE-2025-12977 – Feil validering av tagger utledet fra angriperkontrollerte felt. Ondsinnet inndata kan injisere traverseringssekvenser, nye linjer eller kontrolltegn som ødelegger nedstrøms loggpipeliner.
• CVE‑2025‑12969 – Mangler autentisering i in_forward-pluginen som brukes av Fluent Bit-instanser som kommuniserer via Forward-protokollen. Denne utelatelsen tillater injeksjon av forfalskede logger eller oversvømmelse av nedstrøms sikkerhetsverktøy med fabrikkerte hendelser.

Potensiell innvirkning på skydrift

Sammen gir disse sårbarhetene omfattende innflytelse over hvordan Fluent Bit samler inn, behandler og lagrer telemetridata. En målrettet angriper kan omdirigere eller undertrykke viktige hendelser, plante villedende informasjon, slette tegn på inntrenging eller utløse kjøring av ondsinnet kode gjennom manipulerte logger. Gitt Fluent Bits brede bruk, truer disse risikoene påliteligheten til bedriftsskymiljøer og troverdigheten til logginfrastrukturen deres.

Veiledning for oppdateringer og leverandør

Problemene ble løst etter koordinert offentliggjøring, med rettelser i Fluent Bit versjon 4.1.1 og 4.0.12, utgitt i oktober 2025. AWS, som også deltok i offentliggjøringsprosessen, råder alle kunder som bruker Fluent Bit til å oppdatere raskt for å forbli beskyttet.

Sikkerhetsanbefalinger

For å redusere eksponering og styrke overvåkingsprosesser anbefaler eksperter å stramme inn konfigurasjonen og begrense angrepsflater. Viktige defensive tiltak inkluderer:

Unngå å bruke dynamiske tagger for ruting og begrens utdatastier for å forhindre tagdrevet stiutvidelse eller -gjennomgang.

Monter konfigurasjonskataloger som /fluent-bit/etc/ som skrivebeskyttet, blokker manipulering av kjøretidsinnstillinger og kjør Fluent Bit under kontoer som ikke er root.

Kontekst fra tidligere oppdagelser

Denne avsløringen følger et tidligere Fluent Bit-sårbarhetsproblem som ble rapportert mer enn et år tidligere: CVE-2024-4323, også kjent som Linguistic Lumberjack. Denne feilen påvirket agentens innebygde HTTP-server og eksponerte instanser for DoS-forhold, dataeksponering eller ekstern kodekjøring. De nylig identifiserte problemene understreker den fortsatte viktigheten av å sikre telemetriverktøy som danner grunnlaget for skyobservasjon.