Lỗ hổng bảo mật Fluent Bit

Nghiên cứu đã chỉ ra năm vấn đề bảo mật nghiêm trọng trong Fluent Bit, một tác nhân đo từ xa nguồn mở được triển khai rộng rãi. Khi kết hợp với nhau, những điểm yếu này tạo điều kiện cho kẻ tấn công có nhiều cách để chiếm quyền kiểm soát tài sản đám mây, can thiệp vào tính toàn vẹn của nhật ký hoặc làm gián đoạn tính khả dụng của dịch vụ trên môi trường đám mây và Kubernetes.

Kẻ tấn công có thể khai thác lỗ hổng như thế nào

Các lỗ hổng chưa được phát hiện này cùng nhau mở ra cánh cửa cho việc bỏ qua xác thực, thao túng tệp, thực thi mã từ xa, gián đoạn dịch vụ và giả mạo thẻ. Nếu được vũ khí hóa, chúng cung cấp cho kẻ xâm nhập khả năng làm hỏng nhật ký, che giấu hoạt động độc hại, chèn dữ liệu đo từ xa giả mạo và xâm nhập sâu hơn vào cơ sở hạ tầng đám mây.

Phân tích các CVE đã xác định

Các lỗ hổng sau đây minh họa phạm vi tấn công rộng lớn như thế nào khi Fluent Bit xử lý dữ liệu đầu vào không đáng tin cậy:

• CVE‑2025‑12972 – Một lỗ hổng duyệt đường dẫn liên quan đến việc sử dụng các giá trị thẻ chưa được kiểm tra để tạo tên tệp. Điều này khiến hệ thống dễ bị ghi tệp tùy ý, giả mạo nhật ký và có khả năng thực thi mã.
• CVE‑2025‑12970 – Tràn bộ đệm ngăn xếp trong plugin đầu vào Docker Metrics (in_docker). Việc tạo các container có tên quá dài có thể gây ra sự cố hoặc dẫn đến thực thi mã từ xa.
• CVE‑2025‑12978 – Một lỗ hổng logic trong việc khớp thẻ cho phép giả mạo các thẻ đáng tin cậy bằng cách chỉ đoán ký tự đầu tiên của Tag_Key, cho phép kẻ tấn công định tuyến lại nhật ký, bỏ qua bộ lọc và đưa vào các bản ghi bị thao túng.
• CVE‑2025‑12977 – Xác thực thẻ không đúng cách lấy từ các trường do kẻ tấn công kiểm soát. Đầu vào độc hại có thể chèn các chuỗi duyệt, ký tự xuống dòng hoặc ký tự điều khiển làm hỏng đường ống nhật ký hạ lưu.
• CVE‑2025‑12969 – Thiếu xác thực trong plugin in_forward được sử dụng bởi các phiên bản Fluent Bit giao tiếp qua giao thức Forward. Việc thiếu sót này cho phép chèn nhật ký giả mạo hoặc làm tràn ngập các công cụ bảo mật hạ nguồn bằng các sự kiện giả mạo.

Tác động tiềm ẩn đến hoạt động đám mây

Kết hợp lại, những lỗ hổng này tạo ra ảnh hưởng sâu rộng đến cách Fluent Bit thu thập, xử lý và lưu trữ dữ liệu đo từ xa. Kẻ tấn công có chủ đích có thể chuyển hướng hoặc ngăn chặn các sự kiện quan trọng, cài cắm thông tin sai lệch, xóa dấu hiệu xâm nhập hoặc kích hoạt thực thi mã độc thông qua nhật ký bị thao túng. Với việc Fluent Bit được áp dụng rộng rãi, những rủi ro này đe dọa độ tin cậy của môi trường đám mây doanh nghiệp và cơ sở hạ tầng ghi nhật ký của họ.

Bản vá và Hướng dẫn của Nhà cung cấp

Các vấn đề đã được giải quyết sau khi có sự phối hợp công bố, với các bản sửa lỗi được cung cấp trong Fluent Bit phiên bản 4.1.1 và 4.0.12, phát hành vào tháng 10 năm 2025. AWS, đơn vị cũng tham gia vào quá trình công bố, khuyến cáo tất cả khách hàng đang sử dụng Fluent Bit nên cập nhật ngay để đảm bảo an toàn.

Khuyến nghị bảo mật

Để giảm thiểu rủi ro và tăng cường hệ thống giám sát, các chuyên gia khuyến nghị nên thắt chặt cấu hình và hạn chế các bề mặt tấn công. Các biện pháp phòng thủ chính bao gồm:

Tránh sử dụng thẻ động để định tuyến và hạn chế đường dẫn đầu ra để ngăn chặn việc mở rộng hoặc chuyển hướng đường dẫn theo thẻ.

Gắn các thư mục cấu hình như /fluent-bit/etc/ ở chế độ chỉ đọc, chặn thao tác thời gian chạy và chạy Fluent Bit dưới các tài khoản không phải root.

Bối cảnh từ những khám phá trước đó

Tiết lộ này tiếp nối lỗ hổng Fluent Bit trước đó được báo cáo hơn một năm trước: CVE‑2024‑4323, còn được gọi là Linguistic Lumberjack. Lỗ hổng này ảnh hưởng đến máy chủ HTTP tích hợp của tác nhân và khiến các phiên bản dễ bị tấn công DoS, lộ dữ liệu hoặc thực thi mã từ xa. Các vấn đề mới được xác định nhấn mạnh tầm quan trọng không ngừng của việc bảo mật các công cụ đo từ xa, vốn là nền tảng của khả năng quan sát đám mây.