Вразливості безпеки Fluent Bit
Проведене дослідження виявило п'ять серйозних проблем безпеки у Fluent Bit, широко розгорнутому телеметричному агенті з відкритим кодом. Поєднані разом, ці вразливості надають зловмисникам кілька шляхів для захоплення контролю над хмарними активами, порушення цілісності журналів або порушення доступності послуг у хмарних середовищах та середовищах Kubernetes.
Зміст
Як зловмисники можуть використовувати недоліки
Виявлені дефекти разом відкривають шлях до обходу автентифікації, маніпуляції з файлами, віддаленого виконання коду, перебоїв у роботі сервісів та підробки тегів. Якщо їх використати як зброю, вони надають зловмиснику можливість пошкоджувати журнали, маскувати шкідливу активність, впроваджувати фальшиву телеметрію та глибше проникати в хмарну інфраструктуру.
Розподіл виявлених CVE
Наведені нижче вразливості ілюструють, наскільки широкою стає поверхня атаки, коли Fluent Bit обробляє ненадійні вхідні дані:
- CVE‑2025‑12972 – Вразливість, пов’язана з використанням неочищених значень тегів для генерації імен файлів. Це наражає системи на довільний запис файлів, зміну журналів та потенційне виконання коду.
- CVE‑2025‑12970 – Переповнення буфера стека у плагіні вхідних даних Docker Metrics (in_docker). Створення контейнерів із занадто довгими іменами може призвести до збою або віддаленого виконання коду.
- CVE‑2025‑12978 – Логічна помилка в зіставленні тегів, яка дозволяє підробляти довірені теги, вгадуючи лише початковий символ Tag_Key, що дає змогу зловмисникам перенаправляти журнали, обходити фільтрацію та впроваджувати маніпульовані записи.
- CVE‑2025‑12977 – Неправильна перевірка тегів, отриманих з полів, контрольованих зловмисником. Зловмисний вхід може впроваджувати послідовності обходу, символи нового рядка або керуючі символи, що пошкоджують конвеєри журналів нижче за тегом.
- CVE‑2025‑12969 – Відсутня автентифікація в плагіні in_forward, який використовується екземплярами Fluent Bit, що зв’язуються через протокол Forward. Це упущення дозволяє впровадження підроблених журналів або переповнення інструментів безпеки нижче за течією сфабрикованими подіями.
Потенційний вплив на хмарні операції
Разом ці вразливості надають значний вплив на те, як Fluent Bit збирає, обробляє та зберігає телеметричні дані. Рішучий зловмисник може перенаправляти або приховувати важливі події, розміщувати оманливу інформацію, стерти ознаки вторгнення або ініціювати виконання шкідливого коду через маніпульовані журнали. З огляду на широке поширення Fluent Bit, ці ризики загрожують надійності хмарних середовищ підприємств та достовірності їхньої інфраструктури журналювання.
Патчі та рекомендації постачальників
Проблеми було вирішено після скоординованого розкриття інформації, а виправлення були надані у версіях Fluent Bit 4.1.1 та 4.0.12, випущених у жовтні 2025 року. AWS, яка також брала участь у процесі розкриття інформації, радить усім клієнтам, які користуються Fluent Bit, негайно оновлюватися для забезпечення захисту.
Рекомендації з безпеки
Щоб зменшити вплив та посилити канали моніторингу, експерти рекомендують посилити конфігурацію та обмежити поверхні атаки. Ключові захисні дії включають:
Уникайте використання динамічних тегів для маршрутизації та обмежуйте вихідні шляхи, щоб запобігти розширенню або проходу шляхів на основі тегів.
Монтувати каталоги конфігурації, такі як /fluent-bit/etc/, лише для читання, блокувати маніпуляції під час виконання та запускати Fluent Bit від імені облікових записів, відмінних від root.
Контекст з попередніх відкриттів
Це розкриття інформації відбувається після попередньої вразливості Fluent Bit, про яку повідомлялося понад рік тому: CVE‑2024‑4323, також відомої як Linguistic Lumberjack. Ця вразливість вплинула на вбудований HTTP-сервер агента та наражала екземпляри на ризики DoS, витоку даних або віддаленого виконання коду. Нещодавно виявлені проблеми підкреслюють постійну важливість захисту інструментів телеметрії, які формують основу спостереження за хмарою.
