22/05/24
Специалисты Tenable выявили критическую уязвимость в Fluent Bit, которая может привести к DoS-атаке и удаленному выполнению кода. Недостаток затрагивает всех крупных облачных провайдеров, таких как Amazon AWS, Google GCP и Microsoft Azure, а также многих IT-гигантов, пишет Securitylab.
Fluent Bit — популярное решение для логирования и мониторинга на Windows, Linux и macOS, встроенное в основные дистрибутивы Kubernetes. До марта 2024 года Fluent Bit был загружен и установлен более 13 миллиардов раз. Такая технология используется в кибербезопасности Crowdstrike, Trend Micro, Cisco, VMware, Intel, Adobe и Dell.
Уязвимость повреждения памяти (Memory corruption) CVE-2024-4323 (оценка CVSS 3.1: 9.8) была обнаружена исследователями Tenable, которые назвали её Linguistic Lumberjack. Ошибка вызвана переполнением кучи (Heap Overflow) во встроенном HTTP-сервере Fluent Bit при обработке запросов трассировки и впервые появилась в версии 2.0.7.
Неаутентифицированный злоумышленник может легко воспользоваться уязвимостью, чтобы вызвать отказ в обслуживании (Denial of Service, DoS) или захватить конфиденциальную информацию. Однако при определенных условиях и достаточном времени хакер может достичь удаленного выполнения кода (Remote Code Execution, RCE).
В Tenable заявили, что создание надежного эксплойта уязвимости переполнения кучи не только сложно, но и требует огромного количества времени. Основные риски связаны с легкостью выполнения DoS-атак и утечек информации.
Tenable сообщила об ошибке разработчикам 30 апреля, и исправления были внесены в основную ветку Fluent Bit 15 мая. Ожидается, что официальные релизы с исправлением появятся в версии 3.0.4 (пакеты для Linux уже доступны). Кроме того, Tenable 15 мая уведомила Microsoft, Amazon и Google о критической уязвимости через их платформы раскрытия уязвимостей.
До тех пор, пока исправления не станут доступны для всех затронутых платформ, пользователи, развернувшие Fluent Bit в своей инфраструктуре, могут смягчить проблему, ограничив доступ к API мониторинга Fluent Bit только до авторизованных пользователей и служб. Также можно отключить уязвимый API, если он не используется, чтобы блокировать потенциальные атаки и сократить поверхность атаки.
