Уязвимости безопасности Fluent Bit
Проведенное исследование выявило пять серьезных уязвимостей безопасности Fluent Bit, широко распространенного агента телеметрии с открытым исходным кодом. В совокупности эти уязвимости предоставляют злоумышленникам множество возможностей для захвата контроля над облачными активами, нарушения целостности журналов или нарушения доступности сервисов в облачных средах и средах Kubernetes.
Оглавление
Как злоумышленники могут воспользоваться уязвимостями
Обнаруженные дефекты в совокупности открывают возможности для обхода аутентификации, манипуляций с файлами, удалённого выполнения кода, нарушения работы сервисов и подмены тегов. Если они используются в качестве оружия, злоумышленник получает возможность повреждать журналы, маскировать вредоносную активность, внедрять поддельные телеметрические данные и глубже проникать в облачную инфраструктуру.
Разбивка выявленных CVE
Следующие уязвимости иллюстрируют, насколько широкой становится поверхность атаки, когда Fluent Bit обрабатывает ненадежные входные данные:
- CVE‑2025‑12972 — уязвимость обхода пути, связанная с использованием необработанных значений тегов для генерации имён файлов. Это делает системы уязвимыми для произвольной записи файлов, подмены журналов и потенциального выполнения кода.
- CVE‑2025‑12970 — переполнение буфера стека в плагине ввода Docker Metrics (in_docker). Создание контейнеров со слишком длинными именами может привести к сбою или удалённому выполнению кода.
- CVE‑2025‑12978 — логическая ошибка в сопоставлении тегов, которая позволяет подделывать доверенные теги, угадывая только начальный символ Tag_Key, что позволяет злоумышленникам перенаправлять журналы, обходить фильтрацию и внедрять поддельные записи.
- CVE‑2025‑12977 — Некорректная проверка тегов, полученных из полей, контролируемых злоумышленником. Вредоносный ввод может включать в себя обходные последовательности, символы переноса строк или управляющие символы, которые повреждают последующие конвейеры журналов.
- CVE‑2025‑12969 — Отсутствует аутентификация в плагине in_forward, используемом экземплярами Fluent Bit, взаимодействующими по протоколу Forward. Это упущение позволяет внедрять поддельные журналы или загружать нижестоящие средства безопасности сфабрикованными событиями.
Потенциальное влияние на облачные операции
В совокупности эти уязвимости оказывают существенное влияние на то, как Fluent Bit собирает, обрабатывает и хранит телеметрические данные. Целеустремлённый злоумышленник может перенаправить или скрыть важные события, внедрить ложную информацию, стереть признаки вторжения или инициировать выполнение вредоносного кода с помощью манипуляций с журналами. Учитывая широкое распространение Fluent Bit, эти риски ставят под угрозу надёжность корпоративных облачных сред и надёжность их инфраструктуры журналирования.
Патчи и рекомендации поставщиков
Проблемы были устранены после скоординированного раскрытия информации, а исправления были представлены в версиях Fluent Bit 4.1.1 и 4.0.12, выпущенных в октябре 2025 года. AWS, которая также приняла участие в процессе раскрытия информации, рекомендует всем клиентам, использующим Fluent Bit, незамедлительно обновиться, чтобы оставаться защищенными.
Рекомендации по безопасности
Для снижения воздействия и усиления контроля трубопроводов эксперты рекомендуют ужесточить конфигурацию и ограничить поверхности атак. Ключевые защитные меры включают:
Избегайте использования динамических тегов для маршрутизации и ограничьте выходные пути, чтобы предотвратить расширение или обход пути с помощью тегов.
Монтируйте каталоги конфигурации, такие как /fluent-bit/etc/, как «только для чтения», блокируйте манипуляции во время выполнения и запускайте Fluent Bit под учетными записями, не являющимися root.
Контекст из более ранних открытий
Это сообщение о данной уязвимости следует за предыдущей уязвимостью Fluent Bit, о которой сообщалось более года назад: CVE‑2024‑4323, также известной как Linguistic Lumberjack. Эта уязвимость затрагивала встроенный HTTP-сервер агента и подвергала экземпляры риску DoS-атак, раскрытия данных или удалённого выполнения кода. Новые выявленные проблемы подчёркивают сохраняющуюся важность защиты инструментов телеметрии, лежащих в основе облачного наблюдения.
