Fluent Bit Güvenlik Açıkları
Yapılan araştırmalar, yaygın olarak kullanılan açık kaynaklı bir telemetri aracı olan Fluent Bit'te beş ciddi güvenlik sorununu ortaya çıkardı. Bu zayıflıklar bir araya geldiğinde, tehdit aktörlerine bulut varlıklarının kontrolünü ele geçirmek, günlük bütünlüğünü engellemek veya bulut ve Kubernetes ortamlarında hizmet kullanılabilirliğini bozmak için birden fazla yol sunuyor.
İçindekiler
Saldırganlar Kusurları Nasıl Kullanabilir?
Ortaya çıkarılan kusurlar toplu olarak kimlik doğrulama atlama, dosya manipülasyonu, uzaktan kod çalıştırma, hizmet kesintisi ve etiket tahrifatına kapı açar. Silah haline getirildiklerinde, saldırganlara günlükleri bozma, kötü amaçlı faaliyetleri gizleme, uydurma telemetri enjekte etme ve bulut altyapısına daha derinlemesine nüfuz etme yeteneği sağlarlar.
Belirlenen CVE’lerin Dağılımı
Aşağıdaki güvenlik açıkları, Fluent Bit'in güvenilmeyen girdileri işlemesi durumunda saldırı yüzeyinin ne kadar genişleyebileceğini göstermektedir:
- CVE‑2025‑12972 – Dosya adları oluşturmak için temizlenmemiş etiket değerlerinin kullanılmasıyla bağlantılı bir yol geçiş zayıflığı. Bu durum, sistemleri keyfi dosya yazma işlemlerine, günlük tahriflerine ve olası kod yürütmelerine maruz bırakıyor.
- CVE‑2025‑12970 – Docker Metrics giriş eklentisinde (in_docker) bir yığın arabellek taşması. Aşırı uzun adlara sahip kapsayıcılar oluşturmak bir çökmeye veya uzaktan kod yürütülmesine neden olabilir.
- CVE‑2025‑12978 – Etiket eşleştirmede, yalnızca Tag_Key'in başlangıç karakterini tahmin ederek sahte güvenilir etiketlere izin veren bir mantık hatası, saldırganların günlükleri yeniden yönlendirmesine, filtrelemeyi atlamasına ve manipüle edilmiş kayıtları enjekte etmesine olanak tanır.
- CVE‑2025‑12977 – Saldırgan tarafından kontrol edilen alanlardan türetilen etiketlerin uygunsuz şekilde doğrulanması. Kötü amaçlı girdiler, aşağı akış günlük hatlarını bozan geçiş dizileri, yeni satırlar veya kontrol karakterleri enjekte edebilir.
- CVE‑2025‑12969 – Forward protokolü üzerinden iletişim kuran Fluent Bit örnekleri tarafından kullanılan in_forward eklentisinde kimlik doğrulaması eksik. Bu eksiklik, sahte günlüklerin eklenmesine veya alt akış güvenlik araçlarının uydurma olaylarla doldurulmasına olanak tanıyor.
Bulut Operasyonları Üzerindeki Potansiyel Etki
Bu güvenlik açıkları bir araya geldiğinde, Fluent Bit'in telemetri verilerini nasıl topladığı, işlediği ve depoladığı üzerinde kapsamlı bir etki yaratır. Kararlı bir saldırgan, önemli olayları yönlendirebilir veya engelleyebilir, yanıltıcı bilgiler yerleştirebilir, izinsiz giriş belirtilerini silebilir veya manipüle edilmiş günlükler aracılığıyla kötü amaçlı kod çalıştırmayı tetikleyebilir. Fluent Bit'in yaygın kullanımı göz önüne alındığında, bu riskler kurumsal bulut ortamlarının ve günlük altyapısının güvenilirliğini tehdit etmektedir.
Yamalar ve Satıcı Kılavuzu
Sorunlar, koordineli bir açıklamanın ardından çözüldü ve Ekim 2025'te yayınlanan Fluent Bit 4.1.1 ve 4.0.12 sürümlerinde düzeltmeler sağlandı. Açıklama sürecine katılan AWS, Fluent Bit kullanan tüm müşterilere korunmaya devam etmek için derhal güncelleme yapmalarını tavsiye ediyor.
Güvenlik Önerileri
Uzmanlar, maruziyeti azaltmak ve izleme kanallarını güçlendirmek için yapılandırmanın sıkılaştırılmasını ve saldırı yüzeylerinin kısıtlanmasını öneriyor. Temel savunma önlemleri şunlardır:
Yönlendirme için dinamik etiketler kullanmaktan kaçının ve etiket odaklı yol genişlemesini veya geçişini önlemek için çıktı yollarını kısıtlayın.
/fluent-bit/etc/ gibi yapılandırma dizinlerini salt okunur olarak bağlayın, çalışma zamanında değişiklik yapılmasını engelleyin ve Fluent Bit'i kök olmayan hesaplar altında çalıştırın.
Daha Önceki Keşiflerden Bağlam
Bu açıklama, bir yıldan uzun bir süre önce bildirilen CVE‑2024‑4323 (Linguistic Lumberjack olarak da bilinir) adlı önceki bir Fluent Bit güvenlik açığının ardından geldi. Bu güvenlik açığı, aracının yerleşik HTTP sunucusunu etkilemiş ve örnekleri DoS koşullarına, veri ifşasına veya uzaktan kod yürütmeye maruz bırakmıştı. Yeni tespit edilen sorunlar, bulut gözlemlenebilirliğinin temelini oluşturan telemetri araçlarının güvenliğini sağlamanın önemini vurgulamaktadır.
