Critical FluentBit Vulnerabilities Let Attackers to Cloud Environments Remotely
研究人员在Fluent Bit中发现了一个由五个严重漏洞构成的攻击链,这使得数十亿容器化环境面临远程被攻破的风险。
Fluent Bit是一个开源的日志记录和遥测代理,已在全球部署超过150亿次,是现代云基础设施的核心组件。该工具在银行系统、AWS和Microsoft Azure等云平台以及Kubernetes环境中收集、处理和转发日志。当如此大规模的组件出现故障时,其影响不仅限于单个系统,还会波及整个云生态系统。
这些新披露的缺陷允许攻击者绕过身份验证、执行未经授权的文件操作、通过未经处理的标签操作实现远程代码执行并导致拒绝服务攻击。攻击面横跨多个关键功能。利用这些漏洞的攻击者可能会破坏云服务、篡改数据、执行恶意代码并隐藏其踪迹。
通过控制日志服务行为,攻击者获得了注入虚假遥测数据、将日志重定向到未经授权的目的地以及更改记录事件的能力。一些漏洞已存在超过八年未被修补,导致云环境暴露在蓄意攻击者面前。Oligo Security的安全研究人员与AWS合作,通过协调漏洞披露发现了这些缺陷。该研究表明,基础架构组件的弱点如何能够促成影响全球数百万部署的复杂攻击链。
Oligo Security的分析师在对Fluent Bit的输入和输出插件进行彻底的安全评估后发现了这些漏洞。研究团队发现,身份验证机制、输入验证和缓冲区处理存在严重的安全漏洞。他们的发现促使他们立即与AWS和Fluent Bit维护者协调,并在4.1.1版本中发布了修复程序。
路径遍历和文件写入漏洞的技术分析
CVE-2025-12972是该攻击链中最危险的漏洞之一。Fluent Bit中的File输出插件使用两个配置参数(Path和File)直接将日志写入文件系统。许多常见配置仅使用Path选项,并从记录标签派生文件名。然而,该插件在构建文件路径之前未能清理这些标签。攻击者可以在标签值中注入如“../”之类的路径遍历序列,从而逃逸目标目录并将文件写入系统上的任意位置。
由于攻击者通过日志内容操控可以部分控制写入这些文件的数据,他们可以在关键系统位置创建恶意配置文件、脚本或可执行文件。当Fluent Bit以提升的权限运行时,这会导致远程代码执行。当HTTP输入配置了Tag_Key设置,且File输出缺少显式的File参数时,该漏洞变得极易被利用。
使用forward输入与文件输出相结合的配置同样易受攻击,使得未经身份验证的攻击者能够注入恶意标签并写入任意文件。
| CVE ID | 漏洞类型 | 受影响组件 | CVSS严重等级 | 影响 |
|---|---|---|---|---|
| CVE-2025-12972 | 路径遍历文件写入 | out_file 插件 |
严重 | 远程代码执行,日志篡改 |
| CVE-2025-12970 | 栈缓冲区溢出 | in_docker 插件 |
严重 | 拒绝服务,远程代码执行 |
| CVE-2025-12978 | 部分字符串比较 | HTTP/Splunk/Elasticsearch 输入 | 严重 | 标签欺骗 |
| CVE-2025-12977 | 输入验证不当 | HTTP/Splunk/Elasticsearch 输入 | 严重 | 注入攻击 |
| CVE-2025-12969 | 身份验证缺失 | in_forward 插件 |
严重 | 未经授权的访问 |
对所有运行Fluent Bit的组织而言,立即修补到4.1.1或4.0.12版本至关重要。组织应优先更新生产部署,并实施配置更改以限制攻击暴露。静态、预定义的标签可以消除不受信任的输入对路由和文件操作的影响。在输出配置中设置明确的Path和File参数可以防止基于标签的动态路径构建。以非root权限运行Fluent Bit并挂载只读的配置文件,可以显著降低成功利用的影响。AWS已保护其内部系统,并建议所有客户立即升级。
安全社区将这些漏洞视为开源安全报告系统性挑战的证据,关键基础设施组件通常依赖资源有限的志愿维护者来处理协调的安全披露。