Исследователи Oligo Security обнаружили пять уязвимостей в Fluent Bit. Совместная эксплуатация найденных проблем может привести к компрометации всей облачной инфраструктуры, включая Kubernetes-кластеры.
Fluent Bit — опенсорсное решение для сбора, обработки и маршрутизации логов и метрик, которое массово используется в корпоративных и контейнерных средах, Kubernetes-кластерах, а также в облачных инфраструктурах. Решение поддерживает Windows, Linux и macOS.
Кроме того, Fluent Bit встроен в основные дистрибутивы Kubernetes, в том числе в AWS, Google Cloud Platform и Microsoft Azure. Также он используется многими компаниями, специализирующимися на кибербезопасности, включая Crowdstrike и Trend Micro, и многими технологическими компаниями, в том числе Cisco, LinkedIn, VMware, Splunk, Intel, Arm и Adobe.
«Уязвимости позволяют обойти аутентификацию, выполнять атаки типа path traversal, осуществлять удаленное выполнение кода, спровоцировать отказ в обслуживании и манипулировать тегами», — предупреждают специалисты.
В результате успешная эксплуатация багов позволяет злоумышленнику нарушить работу облачных сервисов, манипулировать данными, а также проникнуть глубже в облачную инфраструктуру и инфраструктуру Kubernetes.
Список выявленных уязвимостей выглядит следующим образом.
- CVE-2025-12972 (Path Traversal) — использование неочищенных значений тегов для генерации имен файлов позволяет записывать или перезаписывать произвольные файлы на диске. Это открывает путь к подделке логов и удаленному выполнению кода.
- CVE-2025-12970 (Stack Buffer Overflow) — переполнение буфера в плагине Docker Metrics (in_docker). Злоумышленник может вызвать сбой агента или выполнить произвольный код, создавая контейнеры с чрезмерно длинными именами.
- CVE-2025-12978 (Tag Spoofing) — проблема в логике сопоставления тегов позволяет подделывать доверенные теги, угадав всего один символ Tag_Key. В итоге атакующий может перенаправлять логи, обходить фильтры и внедрять вредоносные записи под видом легитимных.
- CVE-2025-12977 (Input Validation) — некорректная валидация входных данных тегов, полученных из контролируемых пользователем полей. Злоумышленник может внедрять символы перевода строки, последовательности обхода пути (path traversal) и управляющие символы, что приводит к повреждению логов в нижестоящих системах.
- CVE-2025-12969 (Missing Authentication) — отсутствие аутентификации security.users в плагине in_forward (используется для получения логов от других экземпляров Fluent Bit с помощью протокола Forward). Атакующие могут передавать произвольные логи, внедрять ложную телеметрию и заполнять журналы фейковыми событиями.
Как отмечают исследователи, уязвимости дают атакующему полный контроль над системой логирования. Хакер получает возможность выполнять вредоносный код в облачной инфраструктуре, контролировать, какие именно события записываются в логи, стирать или переписывать компрометирующие записи, скрывая следы атаки. Более того, злоумышленник может внедрять правдоподобные фальшивые события, чтобы ввести в заблуждение команды реагирования на инциденты, а также манипулировать данными и нарушать работу облачных сервисов.
Бюллетень безопасности CERT/CC подтверждает, что большинство уязвимостей можно эксплуатировать при условии сетевой доступности экземпляра Fluent Bit для атакующего. В этом случае баги могут использоваться для обхода аутентификации, удаленного выполнения кода и DoS-атак.
Все проблемы были устранены в версиях 4.1.1 и 4.0.12, выпущенных еще в январе 2025 года. Представители Amazon Web Services, которые также участвовали в раскрытии информации об уязвимостях, призвали клиентов немедленно обновиться до актуальных версий.
Помимо установки патчей, эксперты рекомендуют отказаться от динамических тегов для маршрутизации, жестко ограничить пути записи логов и их назначения для предотвращения path traversal, монтировать конфигурационные файлы в режиме read-only и запускать Fluent Bit от имени непривилегированного пользователя.
