Fluent Bit 安全漏洞

經研究發現，廣泛部署的開源遙測代理程式 Fluent Bit 存在五個嚴重的安全漏洞。這些漏洞相互關聯，為攻擊者提供了多種途徑來控制雲端資產、幹擾日誌完整性或破壞雲端和 Kubernetes 環境中的服務可用性。

攻擊者如何利用這些漏洞

這些已發現的缺陷共同為繞過身份驗證、文件篡改、遠端程式碼執行、服務中斷和標籤篡改打開了方便之門。如果被惡意利用，這些缺陷將使入侵者能夠破壞日誌、掩蓋惡意活動、注入偽造的遙測數據，並進一步深入雲端基礎設施。

已識別的CVE細分

以下漏洞說明了當 Fluent Bit 處理不受信任的輸入時，攻擊面會變得多麼廣泛：

• CVE-2025-12972 – 一個與使用未經清理的標籤值產生檔案名稱相關的路徑遍歷漏洞。這會使系統面臨任意文件寫入、日誌篡改和潛在程式碼執行的風險。
• CVE-2025-12970 – Docker Metrics 輸入插件 (in_docker) 中存在堆疊緩衝區溢位漏洞。建立名稱過長的容器可能會觸發崩潰或導致遠端程式碼執行。
• CVE-2025-12978 – 標籤匹配中的一個邏輯缺陷，允許僅透過猜測 Tag_Key 的首字元來偽造可信任標籤，從而使攻擊者能夠重新路由日誌、繞過過濾並注入篡改過的記錄。
• CVE-2025-12977 – 對來自攻擊者控製字段的標籤驗證不當。惡意輸入可能注入遍歷序列、換行符或控製字符，從而破壞下游日誌管道。
• CVE-2025-12969 – Fluent Bit 實例透過 Forward 協定通訊時所使用的 in_forward 外掛程式缺少身分驗證。此漏洞允許注入偽造日誌或用虛假事件淹沒下游安全工具。

對雲端運營的潛在影響

這些漏洞共同賦予了攻擊者對 Fluent Bit 收集、處理和儲存遙測資料方式的廣泛控制權。蓄意攻擊者可以重定向或壓制關鍵事件、植入誤導性資訊、抹除入侵痕跡，或透過篡改日誌觸發惡意程式碼執行。鑑於 Fluent Bit 的廣泛應用，這些風險威脅著企業雲端環境的可靠性及其日誌基礎設施的可信度。

補丁和供應商指南

這些問題在協調披露後得到解決，修復程序已在 2025 年 10 月發布的 Fluent Bit 版本 4.1.1 和 4.0.12 中提供。 AWS 也參與了揭露過程，並建議所有使用 Fluent Bit 的客戶及時更新以保持安全。

安全建議

為降低風險敞口並加強監控體系，專家建議收緊配置並縮小攻擊面。關鍵防禦措施包括：

避免使用動態標籤進行路由，並限制輸出路徑，以防止標籤驅動的路徑擴展或遍歷。

將 /fluent-bit/etc/ 等設定目錄掛載為唯讀，阻止執行階段操作，並在非 root 帳戶下執行 Fluent Bit。

早期發現的背景

此次披露是在一年多前 Fluent Bit 曾報告過一個漏洞之後進行的：CVE-2024-4323，也稱為 Linguistic Lumberjack。該漏洞影響了代理程式內建的 HTTP 伺服器，使實例面臨拒絕服務攻擊、資料外洩或遠端程式碼執行的風險。新發現的問題凸顯了保護遙測工具（構成雲端可觀測性基礎的工具）的重要性。