Luki w zabezpieczeniach Fluent Bit
Przeprowadzone badania ujawniły pięć poważnych luk w zabezpieczeniach Fluent Bit, szeroko wdrożonego agenta telemetrycznego typu open source. Połączone ze sobą, te słabości dają atakującym wiele możliwości przejęcia kontroli nad zasobami w chmurze, naruszenia integralności logów lub zakłócenia dostępności usług w środowiskach chmurowych i Kubernetes.
Spis treści
Jak atakujący mogą wykorzystać luki
Ujawnione luki łącznie otwierają drogę do obejścia uwierzytelniania, manipulacji plikami, zdalnego wykonywania kodu, zakłócania usług i manipulacji tagami. W przypadku użycia ich jako broni, dają intruzowi możliwość uszkodzenia logów, zamaskowania złośliwej aktywności, wstrzyknięcia sfabrykowanych danych telemetrycznych i głębszego wniknięcia w infrastrukturę chmurową.
Podział zidentyfikowanych CVE
Poniższe luki w zabezpieczeniach ilustrują, jak szeroka staje się powierzchnia ataku, gdy Fluent Bit przetwarza niezaufane dane wejściowe:
- CVE‑2025‑12972 – Słaba strona w zakresie przemierzania ścieżek związana z używaniem niesatynizowanych wartości tagów do generowania nazw plików. Naraża to systemy na dowolne zapisy plików, manipulacje logami i potencjalne wykonanie kodu.
- CVE‑2025‑12970 – Przepełnienie bufora stosu we wtyczce wejściowej Docker Metrics (in_docker). Tworzenie kontenerów o zbyt długich nazwach może spowodować awarię lub zdalne wykonanie kodu.
- CVE‑2025‑12978 – Błąd logiczny w dopasowywaniu tagów, który umożliwia podrabianie zaufanych tagów poprzez odgadywanie jedynie początkowego znaku Tag_Key, co pozwala atakującym na przekierowywanie dzienników, omijanie filtrowania i wstrzykiwanie zmanipulowanych rekordów.
- CVE‑2025‑12977 – Nieprawidłowa walidacja tagów pochodzących z pól kontrolowanych przez atakującego. Złośliwe dane wejściowe mogą wstrzyknąć sekwencje przechodzenia, nowe wiersze lub znaki kontrolne, które uszkadzają dalsze potoki logów.
- CVE‑2025‑12969 – Brak uwierzytelniania we wtyczce in_forward używanej przez instancje Fluent Bit komunikujące się za pomocą protokołu Forward. To pominięcie umożliwia wstrzykiwanie sfałszowanych logów lub zalewanie narzędzi bezpieczeństwa niższego poziomu sfabrykowanymi zdarzeniami.
Potencjalny wpływ na operacje w chmurze
Łącznie, te luki w zabezpieczeniach zapewniają rozległy wpływ na sposób, w jaki Fluent Bit gromadzi, przetwarza i przechowuje dane telemetryczne. Zdeterminowany atakujący może przekierować lub zablokować istotne zdarzenia, podłożyć mylące informacje, usunąć oznaki włamania lub zainicjować wykonanie złośliwego kodu za pomocą zmanipulowanych logów. Biorąc pod uwagę powszechną adopcję Fluent Bit, zagrożenia te zagrażają niezawodności środowisk chmurowych przedsiębiorstw i wiarygodności ich infrastruktury rejestrowania.
Poprawki i wskazówki dla dostawców
Problemy rozwiązano po skoordynowanym ujawnieniu, a poprawki uwzględniono w wersjach Fluent Bit 4.1.1 i 4.0.12, wydanych w październiku 2025 r. Firma AWS, która również brała udział w procesie ujawniania, zaleca wszystkim klientom korzystającym z Fluent Bit niezwłoczną aktualizację w celu zachowania bezpieczeństwa.
Zalecenia dotyczące bezpieczeństwa
Aby zmniejszyć ryzyko i wzmocnić procesy monitorowania, eksperci zalecają zaostrzenie konfiguracji i ograniczenie powierzchni ataku. Kluczowe działania obronne obejmują:
Należy unikać stosowania dynamicznych tagów do routingu i ograniczać ścieżki wyjściowe, aby zapobiec rozszerzaniu lub przechodzeniu ścieżek sterowanych tagami.
Montuj katalogi konfiguracyjne, takie jak /fluent-bit/etc/, jako tylko do odczytu, blokuj manipulowanie czasem wykonania i uruchamiaj Fluent Bit na kontach innych niż root.
Kontekst wcześniejszych odkryć
To ujawnienie jest kontynuacją poprzedniej luki w zabezpieczeniach Fluent Bit, zgłoszonej ponad rok wcześniej: CVE‑2024‑4323, znanej również jako Linguistic Lumberjack. Luka ta wpływała na wbudowany serwer HTTP agenta i narażała instancje na ataki DoS, ujawnienie danych lub zdalne wykonywanie kodu. Nowo zidentyfikowane problemy podkreślają wciąż rosnące znaczenie zabezpieczania narzędzi telemetrycznych, które stanowią podstawę obserwowalności w chmurze.
