Безбедносне рањивости Fluent Bit-а
Спроведено истраживање је открило пет озбиљних безбедносних проблема у оквиру Fluent Bit-а, широко распрострањеног телеметријског агента отвореног кода. Када се повежу заједно, ове слабости дају актерима претњи вишеструке путеве да преузму контролу над средствима у облаку, ометају интегритет логова или поремете доступност услуга у облаку и Kubernetes окружењима.
Преглед садржаја
Како нападачи могу искористити недостатке
Откривени недостаци заједно отварају врата заобилажењу аутентификације, манипулацији датотекама, даљинском извршавању кода, прекиду услуга и неовлашћеном мењању ознака. Ако се користе као оружје, пружају уљезу могућност да оштети логове, маскира злонамерне активности, убризга лажну телеметрију и дубље продре у клауд инфраструктуру.
Расподела идентификованих CVE-ова
Следеће рањивости илуструју колико површина напада постаје широка када Fluent Bit обрађује непоуздан унос:
- CVE‑2025‑12972 – Слабост у проласку путање повезана са коришћењем неочишћених вредности ознака за генерисање имена датотека. Ово излаже системе произвољном писању у датотеке, изменама дневника и потенцијалном извршавању кода.
- CVE‑2025‑12970 – Препуњење бафера стека у додатку за унос Docker Metrics (in_docker). Креирање контејнера са превише дугим именима може изазвати пад система или довести до даљинског извршавања кода.
- CVE‑2025‑12978 – Логичка грешка у подударању ознака која омогућава лажирање поузданих ознака погађањем само почетног карактера Tag_Key-а, омогућавајући нападачима да преусмеравају логове, заобилазе филтрирање и убацују манипулисане записе.
- CVE‑2025‑12977 – Неправилна валидација ознака изведених из поља које контролише нападач. Злонамерни унос може убризгати секвенце обиласка, знакове за нови ред или контролне знакове који оштећују низводне цевоводе дневника.
- CVE‑2025‑12969 – Недостаје аутентификација у додатку in_forward који користе инстанце Fluent Bit-а које комуницирају путем Forward протокола. Овај изостав дозвољава убризгавање фалсификованих логова или преплављивање низводних безбедносних алата лажним догађајима.
Потенцијални утицај на операције у облаку
Заједно, ове рањивости пружају значајан утицај на начин на који Флуент Бит прикупља, обрађује и складишти телеметријске податке. Одлучан нападач може преусмерити или потиснути битне догађаје, подметнути обмањујуће информације, избрисати знаке упада или покренути извршавање злонамерног кода путем манипулисаних логова. С обзиром на широку примену Флуент Бита, ови ризици угрожавају поузданост пословних облачних окружења и поузданост њихове инфраструктуре за евидентирање.
Закрпе и смернице за добављаче
Проблеми су решени након координисаног објављивања, а исправке су дате у верзијама Fluent Bit 4.1.1 и 4.0.12, објављеним у октобру 2025. године. AWS, који је такође учествовао у процесу објављивања, саветује свим корисницима Fluent Bit да брзо ажурирају софтвер како би остали заштићени.
Безбедносне препоруке
Да би се смањила изложеност и ојачали канали за праћење, стручњаци препоручују пооштравање конфигурације и ограничавање површина за напад. Кључне одбрамбене мере укључују:
Избегавајте коришћење динамичких ознака за рутирање и ограничите излазне путање како бисте спречили проширење или прелазак путање вођено ознакама.
Монтирајте конфигурационе директоријуме као што је /fluent-bit/etc/ као само за читање, блокирајте манипулацију током извршавања и покрените Fluent Bit под налозима који нису root.
Контекст из ранијих открића
Ово откриће долази након претходне рањивости Fluent Bit-а пријављене више од годину дана раније: CVE‑2024‑4323, познате и као Linguistic Lumberjack. Та мана је утицала на уграђени HTTP сервер агента и излагала инстанце DoS условима, излагању података или даљинском извршавању кода. Новоидентификовани проблеми наглашавају континуирани значај обезбеђивања телеметријских алата који чине основу видљивости у облаку.
