Critical FluentBit Vulnerabilities Let Attackers to Cloud Environments Remotely
星期三,2025年11月26日
在Fluent Bit中新发现的一条包含五个关键漏洞的漏洞链,已使数十亿的容器化环境面临远程入侵风险。
Fluent Bit是一款开源日志记录和遥测代理,全球部署量超过150亿次,是现代云基础设施的核心组件。该工具在银行系统、AWS和Microsoft Azure等云平台以及Kubernetes环境中收集、处理和转发日志。当这种规模的基础组件出现故障时,影响不仅限于单个系统,还会波及整个云生态系统。
这些新披露的缺陷允许攻击者绕过身份验证、执行未经授权的文件操作、实现远程代码执行,并通过未净化的标签操作发起拒绝服务攻击。攻击面横跨多个关键功能。利用这些漏洞的攻击者可以破坏云服务、篡改数据、执行恶意代码并隐藏其踪迹。
通过控制日志服务的行为,攻击者能够注入伪造的遥测数据、将日志重定向到未经授权的目的地,并更改被记录的事件。其中一些漏洞已存在超过八年未被修补,使得云环境暴露在坚定的攻击者面前。Oligo Security的安全研究人员通过与AWS协作,通过协调漏洞披露流程发现了这些缺陷。
这项研究表明,基础架构组件中的弱点如何能够形成复杂的攻击链,影响全球数百万的部署实例。Oligo Security的分析师在对Fluent Bit的输入和输出插件进行彻底安全评估后发现了这些漏洞。研究团队发现,身份验证机制、输入验证和缓冲区处理存在关键的安全缺陷。他们的发现促使他们立即与AWS和Fluent Bit维护者协调,最终在4.1.1版本中发布了修复程序。
路径遍历和文件写入漏洞的技术解析
CVE-2025-12972 是漏洞链中最危险的缺陷之一。Fluent Bit中的File输出插件使用两个配置参数(Path和File)将日志直接写入文件系统。许多常见配置仅使用Path选项,并从记录标签中派生文件名。然而,该插件在构建文件路径之前未能对这些标签进行净化处理。攻击者可以在标签值中注入诸如“../”之类的路径遍历序列,从而逃离目标目录,并将文件写入系统上的任意位置。
由于攻击者可以通过操纵日志内容,对写入这些文件的数据保持部分控制权,他们可以在关键的系统位置创建恶意配置文件、脚本或可执行文件。当Fluent Bit以提升的权限运行时,这会导致远程代码执行。当HTTP输入配置了Tag_Key设置,并且File输出缺少显式的File参数时,该漏洞变得极易被利用。使用forward输入结合文件输出的配置同样脆弱,使得未经身份验证的攻击者能够注入恶意标签并写入任意文件。
| CVE ID | 漏洞类型 | 受影响组件 | CVSS 严重性 | 影响 |
|---|---|---|---|---|
| CVE-2025-12972 | 路径遍历文件写入 | out_file 插件 | 严重 | RCE,日志篡改 |
| CVE-2025-12970 | 栈缓冲区溢出 | in_docker 插件 | 严重 | DoS,RCE |
| CVE-2025-12978 | 部分字符串比较 | HTTP/Splunk/Elasticsearch 输入 | 严重 | 标签欺骗 |
| CVE-2025-12977 | 输入验证不当 | HTTP/Splunk/Elasticsearch 输入 | 严重 | 注入攻击 |
| CVE-2025-12969 | 身份验证缺失 | in_forward 插件 | 严重 | 未经授权的访问 |
对所有运行Fluent Bit的组织而言,立即升级到版本4.1.1或4.0.12至关重要。组织应优先更新生产部署,并实施配置更改以限制攻击暴露面。使用静态、预定义的标签可以消除不受信任的输入对路由和文件操作的影响。在输出配置中设置明确的Path和File参数可以防止基于标签的动态路径构建。以非root权限运行Fluent Bit,并挂载只读的配置文件,可以显著降低成功利用漏洞造成的影响。AWS已确保其内部系统安全,并建议所有客户立即升级。
安全社区将这些漏洞视为开源安全报告中系统性挑战的证据,其中关键基础设施组件通常依赖资源有限的志愿者维护者来处理协调的安全披露。