Zraniteľnosti zabezpečenia Fluent Bit
Výskum odhalil päť závažných bezpečnostných problémov vo Fluent Bit, široko používanom telemetrickom agentovi s otvoreným zdrojovým kódom. Keď sú tieto slabiny spojené, poskytujú útočníkom viacero ciest na získanie kontroly nad cloudovými aktívami, narušenie integrity protokolov alebo narušenie dostupnosti služieb v cloudových prostrediach a prostrediach Kubernetes.
Obsah
Ako by útočníci mohli zneužiť chyby
Odhalené chyby spoločne otvárajú dvere obchádzaniu autentifikácie, manipulácii so súbormi, vzdialenému spusteniu kódu, narušeniu služieb a falšovaniu značiek. Ak sú použité ako zbraň, poskytujú útočníkovi možnosť poškodiť protokoly, maskovať škodlivú aktivitu, vkladať vykonštruovanú telemetriu a preniknúť hlbšie do cloudovej infraštruktúry.
Rozdelenie identifikovaných CVE
Nasledujúce zraniteľnosti ilustrujú, aký široký sa stáva povrch útoku, keď Fluent Bit spracováva nedôveryhodný vstup:
- CVE‑2025‑12972 – Slabosť pri prechádzaní cesty spojená s používaním neopravených hodnôt značiek na generovanie názvov súborov. To vystavuje systémy ľubovoľnému zápisu do súborov, manipulácii s protokolmi a potenciálnemu spusteniu kódu.
- CVE‑2025‑12970 – Pretečenie vyrovnávacej pamäte zásobníka vo vstupnom doplnku Docker Metrics (in_docker). Vytváranie kontajnerov s príliš dlhými názvami môže spôsobiť zlyhanie alebo viesť k vzdialenému spusteniu kódu.
- CVE‑2025‑12978 – Logická chyba v porovnávaní značiek, ktorá umožňuje sfalšovať dôveryhodné značky uhádnutím iba počiatočného znaku Tag_Key, čo útočníkom umožňuje presmerovať protokoly, obísť filtrovanie a vkladať manipulované záznamy.
- CVE‑2025‑12977 – Nesprávne overovanie značiek odvodených z polí kontrolovaných útočníkom. Škodlivý vstup môže vložiť prechodové sekvencie, nové riadky alebo riadiace znaky, ktoré poškodia následné protokolové kanály.
- CVE‑2025‑12969 – Chýbajúce overenie v doplnku in_forward, ktorý používajú inštancie Fluent Bit komunikujúce prostredníctvom protokolu Forward. Toto opomenutie umožňuje vkladanie sfalšovaných protokolov alebo zahlcovanie bezpečnostných nástrojov následných dodávateľov vymyslenými udalosťami.
Potenciálny vplyv na cloudové operácie
Tieto zraniteľnosti spolu poskytujú rozsiahly vplyv na to, ako Fluent Bit zhromažďuje, spracováva a ukladá telemetrické údaje. Odhodlaný útočník môže presmerovať alebo potlačiť dôležité udalosti, vložiť zavádzajúce informácie, vymazať známky narušenia alebo spustiť spustenie škodlivého kódu prostredníctvom manipulovaných protokolov. Vzhľadom na široké rozšírenie Fluent Bit tieto riziká ohrozujú spoľahlivosť podnikových cloudových prostredí a dôveryhodnosť ich infraštruktúry protokolovania.
Záplaty a pokyny dodávateľov
Problémy boli vyriešené po koordinovanom zverejnení, pričom opravy boli poskytnuté vo verziách Fluent Bit 4.1.1 a 4.0.12, vydaných v októbri 2025. Spoločnosť AWS, ktorá sa tiež zúčastnila procesu zverejňovania, odporúča všetkým zákazníkom používajúcim Fluent Bit, aby si ho okamžite aktualizovali a zostali chránení.
Bezpečnostné odporúčania
Na zníženie expozície a posilnenie monitorovacích kanálov odborníci odporúčajú sprísniť konfiguráciu a obmedziť útočné plochy. Medzi kľúčové obranné opatrenia patria:
Vyhnite sa používaniu dynamických značiek na smerovanie a obmedzte výstupné cesty, aby ste zabránili rozširovaniu alebo prechodu ciest riadenému značkami.
Pripojte konfiguračné adresáre, ako napríklad /fluent-bit/etc/, iba na čítanie, zablokujte manipuláciu za behu a spúšťajte Fluent Bit pod účtami inými ako root.
Kontext z predchádzajúcich objavov
Toto zverejnenie nasleduje po predchádzajúcej zraniteľnosti Fluent Bit, ktorá bola nahlásená pred viac ako rokom: CVE‑2024‑4323, známa aj ako Linguistic Lumberjack. Táto chyba ovplyvnila vstavaný HTTP server agenta a vystavila inštancie podmienkam DoS, úniku údajov alebo vzdialenému spusteniu kódu. Novo identifikované problémy zdôrazňujú pretrvávajúci význam zabezpečenia telemetrických nástrojov, ktoré tvoria základ cloudovej sledovateľnosti.
