Varnostne ranljivosti Fluent Bit
Izvedena raziskava je razkrila pet resnih varnostnih težav v Fluent Bitu, široko uporabljenem odprtokodnem telemetričnem agentu. Ko so te slabosti povezane skupaj, dajejo akterjem groženj več poti za prevzem nadzora nad oblačnimi sredstvi, motenje integritete dnevnikov ali prekinitev razpoložljivosti storitev v oblačnih in Kubernetes okoljih.
Kazalo
Kako bi lahko napadalci izkoristili pomanjkljivosti
Odkrite napake skupaj odpirajo vrata obhodu preverjanja pristnosti, manipulaciji datotek, oddaljenemu izvajanju kode, motnjam storitev in spreminjanju oznak. Če jih uporabimo kot orožje, vsiljivcu omogočijo, da poškoduje dnevnike, prikrije zlonamerne dejavnosti, vnese ponarejeno telemetrijo in se poglobi v oblačno infrastrukturo.
Razčlenitev identificiranih CVE
Naslednje ranljivosti ponazarjajo, kako široka postane površina napada, ko Fluent Bit obdeluje nezaupanja vredne vhodne podatke:
- CVE‑2025‑12972 – Slabost pri prečkanju poti, povezana z uporabo nehigieniziranih vrednosti oznak za ustvarjanje imen datotek. To sisteme izpostavlja poljubnemu pisanju datotek, spreminjanju dnevnikov in morebitnemu izvajanju kode.
- CVE‑2025‑12970 – Prelivanje medpomnilnika sklada v vhodnem vtičniku Docker Metrics (in_docker). Ustvarjanje vsebnikov s predolgimi imeni lahko povzroči zrušitev ali oddaljeno izvajanje kode.
- CVE‑2025‑12978 – Logična napaka pri ujemanju oznak, ki omogoča ponarejanje zaupanja vrednih oznak z ugibanjem le začetnega znaka Tag_Key, kar napadalcem omogoča preusmerjanje dnevnikov, obhod filtriranja in vstavljanje spremenjenih zapisov.
- CVE‑2025‑12977 – Nepravilno preverjanje veljavnosti oznak, ki izhajajo iz polj, ki jih nadzoruje napadalec. Zlonamerni vnos lahko vbrizga zaporedja prečkanja, nove vrstice ali kontrolne znake, ki poškodujejo cevovode dnevnika v nižji fazi.
- CVE‑2025‑12969 – Manjka preverjanje pristnosti v vtičniku in_forward, ki ga uporabljajo instance Fluent Bit, ki komunicirajo prek protokola Forward. Ta opustitev omogoča vbrizgavanje ponarejenih dnevnikov ali preplavljanje varnostnih orodij v nižje v verigi z izmišljenimi dogodki.
Potencialni vpliv na delovanje v oblaku
Te ranljivosti skupaj močno vplivajo na to, kako Fluent Bit zbira, obdeluje in shranjuje telemetrične podatke. Odločen napadalec lahko preusmeri ali zatre bistvene dogodke, vstavi zavajajoče informacije, izbriše znake vdora ali sproži izvajanje zlonamerne kode prek manipuliranih dnevnikov. Glede na široko uporabo Fluent Bita ta tveganja ogrožajo zanesljivost poslovnih oblačnih okolij in zaupanje v njihovo infrastrukturo za beleženje.
Popravki in navodila prodajalcev
Težave so bile odpravljene po usklajenem razkritju, popravki pa so bili vključeni v različici Fluent Bit 4.1.1 in 4.0.12, izdani oktobra 2025. AWS, ki je prav tako sodeloval v postopku razkritja, vsem strankam, ki uporabljajo Fluent Bit, svetuje, naj ga nemudoma posodobijo, da ostanejo zaščiteni.
Varnostna priporočila
Za zmanjšanje izpostavljenosti in okrepitev nadzornih cevovodov strokovnjaki priporočajo zaostritev konfiguracije in omejitev napadalnih površin. Ključni obrambni ukrepi vključujejo:
Izogibajte se uporabi dinamičnih oznak za usmerjanje in omejite izhodne poti, da preprečite razširitev ali prečkanje poti, ki ga poganjajo oznake.
Konfiguracijske imenike, kot je /fluent-bit/etc/, pripnite samo za branje, blokirajte manipulacije med izvajanjem in zaženite Fluent Bit pod nekorenskimi računi.
Kontekst iz prejšnjih odkritij
To razkritje sledi prejšnji ranljivosti Fluent Bit, o kateri so poročali več kot leto prej: CVE‑2024‑4323, znana tudi kot Linguistic Lumberjack. Ta napaka je vplivala na vgrajeni strežnik HTTP agenta in izpostavila primerke pogojem DoS, razkritju podatkov ali oddaljenemu izvajanju kode. Novo odkrite težave poudarjajo nadaljnji pomen zaščite orodij za telemetrijo, ki so temelj opazovanja v oblaku.
