Критическая уязвимость во Fluent Bit может использоваться для атак на отказ в обслуживании и для удаленного выполнения кода. Эта проблема, получившая 9,8 балла по шкале CVSS, затрагивает крупных облачных провайдеров и многие технические компании, включая Microsoft, Amazon и Google.
Fluent Bit представляет собой популярно решение для ведения логов и метрик для Windows, Linux и macOS. По состоянию на март 2024 года Fluent Bit был загружен и развернут более 13 млрд раз.
Кроме того, Fluent Bit встроен в основные дистрибутивы Kubernetes, в том числе в Amazon AWS, Google GCP и Microsoft Azure. Также он используется многими компаниями, специализирующимися на кибербезопасности, включая Crowdstrike и Trend Micro, и многими технологическими компаниями, включая Cisco, LinkedIn, VMware, Splunk, Intel, Arm и Adobe.
Критическая уязвимость CVE-2024-4323 была обнаружена экспертами компании Tenable, которые дали проблеме название Linguistic Lumberjack. Этот баг появилась в версии 2.0.7 и связан с переполнением буфера хипа, которое возникает при парсинге трассировочных запросов во встроенном HTTP-сервере Fluent Bit.
Эксперты предупреждают, что неавторизованные злоумышленники могут легко использовать эту уязвимость для провоцирования отказа в обслуживании или удаленного перехвата конфиденциальной информации. Хуже того, в нужных условиях и при наличии достаточного количества времени для создания эксплоита, хакеры могут использовать этот баг и для удаленного выполнения произвольного кода.
«Хотя известно, что переполнения буфера хипа, подобные этому, можно эксплуатировать, создание надежного эксплоита это не только сложная задача, но и невероятно трудоемкая, — пишут специалисты Tenable. — Считается, что наиболее вероятные риски все же связаны с DoS и утечками информации».
Tenable сообщила о проблеме производителю еще 30 апреля 2024 года, и патчи уже доступны в составе Fluent Bit версии 3.0.4 (для Linux — здесь).
Также исследователи пишут, что 15 мая они уведомили о критической уязвимости Microsoft, Amazon и Google через их платформы для раскрытия уязвимостей.
Клиентам, развернувшим эту утилиту в своей инфраструктуре, рекомендуется ограничить доступ к API мониторинга Fluent Bit только авторизованными пользователями и службами. Также можно отключить уязвимые эндпоинты API, чтобы предотвратить потенциальные атаки.