Pet ranjivosti u popularnom open-source alatu Fluent Bit moglo bi omogućiti hakerima da preuzmu kontrolu nad cloud servisima, upozorava Oligo Security.
Laki i visoko skalabilni data agent podržava prikupljanje, obradu i prosljeđivanje logova, metrika i tragova. Široko je korišćen kao standard u observability pipeline-ovima kroz cloud okruženja i platforme za orkestraciju kontejnera.
Fluent Bit je izgrađen oko input plug-inova koji prikupljaju podatke iz različitih izvora i output plug-inova koji ih isporučuju definisanim destinacijama. Svaki zapis nosi tag koji služi i kao identifikator i kao ruta za prosljeđivanje.
Prva od novootkrivenih ranjivosti prati se kao CVE-2025-12972 i opisana je kao nedostatak sanitizacije vrijednosti taga koje se koriste za generisanje naziva fajlova. To omogućava hakerima da ubace path traversal sekvence.
Na ovaj način napadači mogu prepisivati proizvoljne fajlove na disku, što dovodi do manipulisanja logovima i udaljenog izvršavanja koda (RCE), objašnjava Oligo. Pogođene su konfiguracije u kojima nedostaje definisani ključ ‘File’ u file output sekciji.
Drugi problem, CVE-2025-12970, jeste stack-based buffer overflow u Docker input modulu, koji omogućava da se kreiraju kontejneri sa izuzetno dugim imenima koja prelaze fiksni bafer od 256 bajta, što rezultira padom servisa i izvršavanjem koda. Pogođene su samo konfiguracije sa Docker inputom.
Treća ranjivost, CVE-2025-12978, omogućava hakerima da spoofuju trusted tagove pogađanjem prvog karaktera tag ključa u HTTP, Elasticsearch i Splunk inputima. Ovo može dovesti do preusmjeravanja logova, zaobilaženja filtera i ubacivanja malicioznih ili modifikovanih zapisa.
Četvrti propust, CVE-2025-12977, postoji jer tagovi izvedeni iz polja koja kontroliše korisnik zaobilaze sanitizaciju, što napadačima omogućava da ubace karaktere i sekvence koje dovode do korupcije logova ili šireg output-baziranog napada. Pogađa HTTP, Elasticsearch i Splunk konfiguracije.
Peta ranjivost, praćena kao CVE-2025-12969, nastaje zbog toga što Fluent Bit forwarderi u konfiguracijama koje koriste Security.Users tiho isključuju autentikaciju. Udaljeni napadači mogu iskoristiti propust za ubacivanje lažnog telemetrijskog sadržaja, slanje logova ili zatrpavanje detekcionih sistema.
S obzirom na široku prisutnost Fluent Bit-a kroz AWS, Google Cloud, Microsoft Azure, AI laboratorije, finansijske servise i druga okruženja, identifikovani bezbjednosni propusti predstavljaju kritičan rizik za cloud ekosistem, jer hakeri mogu izazvati poremećaje i steći dubok pristup infrastrukturi, upozorava Oligo.
„U praksi, ovo znači da napadač koji iskoristi ove ranjivosti ne samo da može ometati cloud servise i manipulisati podacima, već i preuzeti sam servis za logovanje“, navodi bezbjednosna firma, uz napomenu da je CVE-2025-12972 uveden prije osam godina.
Ranjivosti utiču na Fluent Bit verzije prije 4.1.1 i 4.0.12. Ažuriranje na najstabilnije izdanje rješava sve propuste.
Oligo takođe naglašava da je o greškama obavijestio AWS, koji ih je odmah adresirao migracijom na Fluent Bit verziju 4.1.1.
Izvor: SecurityWeek