江蘇
關(guān)鍵詞
安全漏洞
安全研究人員近日披露,輕量級開源遙測代理 Fluent Bit 存在五個可被組合利用的安全漏洞,攻擊者能夠借此入侵甚至接管云基礎設施。Oligo Security 指出,這些缺陷可能繞過認證、執(zhí)行路徑遍歷、觸發(fā)遠程代碼執(zhí)行、導致拒絕服務,并操控日志標簽。一旦攻擊成功,攻擊者不僅可以擾亂云服務和篡改數(shù)據(jù),還能進一步滲透云與 Kubernetes 環(huán)境。
研究指出,這些漏洞的風險在于攻擊者可以利用未過濾的標簽值生成輸出文件名,從而實現(xiàn)任意文件寫入并進行日志篡改甚至執(zhí)行惡意代碼;也可以利用 Docker Metrics 插件中的溢出問題,通過超長容器名觸發(fā)崩潰或代碼執(zhí)行。此外,標簽匹配邏輯缺陷導致攻擊者只需猜中標簽鍵的首字符即可偽造可信標簽,繞過過濾并注入惡意記錄;另一處輸入驗證不足的問題允許攻擊者在標簽中插入換行和控制字符,污染下游日志。更嚴重的是,in_forward 插件缺失必要的認證機制,使攻擊者能直接向 Fluent Bit 實例發(fā)送偽造日志,注入假遙測或用大量虛假事件淹沒監(jiān)控系統(tǒng)。
CERT/CC 獨立發(fā)布的通告指出,上述漏洞多數(shù)需要攻擊者具備對 Fluent Bit 實例的網(wǎng)絡訪問權(quán)限,但一旦滿足條件,將可能觸發(fā)認證繞過、遠程代碼執(zhí)行、服務中斷和標簽操控。研究人員強調(diào),這類漏洞組合起來可以讓攻擊者深入云環(huán)境,通過 Fluent Bit 執(zhí)行惡意代碼、操縱記錄的事件內(nèi)容、抹除攻擊痕跡,并注入看似可信的假事件,從而誤導安全響應。
這些問題已在上月發(fā)布的 4.1.1 和 4.0.12 版本中修復。AWS 也參與了協(xié)調(diào)披露,并敦促用戶立即更新 Fluent Bit 以獲得完整防護。由于 Fluent Bit 在企業(yè)環(huán)境中廣泛部署,這些缺陷可能影響云服務可用性、導致數(shù)據(jù)被篡改,甚至讓攻擊者控制日志組件本身。
安全建議包括避免依賴動態(tài)標簽進行路由、限制輸出路徑防止標簽造成路徑遍歷漏洞、將配置目錄以只讀方式掛載以阻止運行時篡改,以及將 Fluent Bit 以非 root 權(quán)限運行。此次披露距離 Tenable 去年發(fā)現(xiàn) Fluent Bit 內(nèi)置 HTTP 服務器漏洞(CVE-2024-4323)僅一年,再次顯示日志基礎設施正成為攻擊者重點瞄準的領(lǐng)域。
安全圈
網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
