VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã phát hiện ra năm lỗ hổng bảo mật trong Fluent Bit, một tác nhân đo từ xa mã nguồn mở và nhẹ, có thể bị lợi dụng để xâm phạm và chiếm quyền điều khiển cơ sở hạ tầng đám mây.

Oligo Security cho biết trong một báo cáo chia sẻ với The Hacker News rằng các lỗi bảo mật "cho phép kẻ tấn công bỏ qua xác thực, thực hiện chuyển hướng đường dẫn, thực thi mã từ xa, gây ra tình trạng từ chối dịch vụ và thao túng thẻ".


Việc khai thác thành công các lỗ hổng này có thể cho phép kẻ tấn công phá hoại các dịch vụ đám mây, thao túng dữ liệu và xâm nhập sâu hơn vào cơ sở hạ tầng đám mây và Kubernetes. Danh sách các lỗ hổng đã được xác định như sau:

    CVE-2025-12972 - Lỗ hổng duyệt đường dẫn bắt nguồn từ việc sử dụng các giá trị thẻ chưa được khử trùng để tạo tên tệp đầu ra, cho phép ghi hoặc ghi đè các tệp tùy ý trên đĩa, cho phép giả mạo nhật ký và thực thi mã từ xa.
    CVE-2025-12970 - Lỗ hổng tràn bộ đệm ngăn xếp trong plugin đầu vào Docker Metrics (in_docker) có thể cho phép kẻ tấn công kích hoạt thực thi mã hoặc làm sập tác nhân bằng cách tạo các thùng chứa có tên quá dài.
    CVE-2025-12978 - Một lỗ hổng trong logic khớp thẻ cho phép kẻ tấn công giả mạo các thẻ đáng tin cậy – được gán cho mọi sự kiện được Fluent Bit thu thập – bằng cách chỉ đoán ký tự đầu tiên của Tag_Key, cho phép kẻ tấn công định tuyến lại nhật ký, bỏ qua bộ lọc và đưa các bản ghi độc hại hoặc gây hiểu lầm vào các thẻ đáng tin cậy.
    CVE-2025-12977 - Xác thực đầu vào không đúng của các thẻ bắt nguồn từ các trường do người dùng kiểm soát, cho phép kẻ tấn công chèn các ký tự xuống dòng, chuỗi chuyển tiếp và ký tự điều khiển có thể làm hỏng nhật ký hạ lưu.
    CVE-2025-12969 - Xác thực security.users bị thiếu trong plugin in_forward được sử dụng để nhận nhật ký từ các phiên bản Fluent Bit khác bằng giao thức Forward, cho phép kẻ tấn công gửi nhật ký, đưa dữ liệu đo từ xa sai và làm tràn nhật ký của sản phẩm bảo mật bằng các sự kiện sai.

Các nhà nghiên cứu cho biết: "Mức độ kiểm soát mà lớp lỗ hổng này tạo ra có thể cho phép kẻ tấn công xâm nhập sâu hơn vào môi trường đám mây để thực thi mã độc thông qua Fluent Bit, đồng thời ra lệnh ghi lại các sự kiện, xóa hoặc viết lại các mục nhập có liên quan để che giấu dấu vết sau cuộc tấn công, chèn dữ liệu đo từ xa giả mạo và chèn các sự kiện giả mạo hợp lý để đánh lừa người ứng phó".

Trung tâm điều phối CERT (CERT/CC), trong một khuyến cáo độc lập, cho biết nhiều lỗ hổng bảo mật này yêu cầu kẻ tấn công phải có quyền truy cập mạng vào phiên bản Fluent Bit, đồng thời cho biết thêm rằng chúng có thể được sử dụng để bỏ qua xác thực, thực thi mã từ xa, gián đoạn dịch vụ và thao túng thẻ.

Sau khi công bố thông tin một cách có trách nhiệm, các vấn đề này đã được giải quyết trong phiên bản 4.1.1 và 4.0.12 được phát hành vào tháng trước. Amazon Web Services (AWS), cũng tham gia vào việc công bố thông tin một cách phối hợp, đã khuyến cáo khách hàng đang sử dụng Fluentbit cập nhật lên phiên bản mới nhất để được bảo vệ tối ưu.

Do Fluent Bit rất phổ biến trong môi trường doanh nghiệp, những thiếu sót này có khả năng làm suy yếu khả năng truy cập vào các dịch vụ đám mây, cho phép giả mạo dữ liệu và chiếm quyền kiểm soát chính dịch vụ ghi nhật ký.

Các hành động được khuyến nghị khác bao gồm tránh sử dụng thẻ động để định tuyến, khóa đường dẫn đầu ra và đích đến để ngăn chặn việc mở rộng hoặc chuyển hướng đường dẫn dựa trên thẻ, gắn kết /fluent-bit/etc/ và các tệp cấu hình ở chế độ chỉ đọc để chặn hành vi giả mạo thời gian chạy và chạy dịch vụ với tư cách là người dùng không phải root.

Sự phát triển này diễn ra hơn một năm sau khi Tenable nêu chi tiết về một lỗ hổng trong máy chủ HTTP tích hợp của Fluent Bit ( CVE-2024-4323 hay còn gọi là Linguistic Lumberjack) có thể bị khai thác để thực hiện tấn công từ chối dịch vụ (DoS), tiết lộ thông tin hoặc thực thi mã từ xa.