Cybersecurity-onderzoekers hebben vijf kwetsbaarheden ontdekt in Fluent Bit, een open-source en lichtgewicht telemetrieagent, die aan elkaar kunnen worden gekoppeld om cloudinfrastructuren te compromitteren en over te nemen.
De beveiligingsfouten “laten aanvallers toe authenticatie te omzeilen, paden te doorlopen, code op afstand uit te voeren, denial-of-service-omstandigheden te veroorzaken en tags te manipuleren”, aldus Oligo Security in een rapport gedeeld met The Hacker News.
Succesvol misbruik van de kwetsbaarheden zou aanvallers in staat kunnen stellen clouddiensten te ontwrichten, gegevens te manipuleren en dieper in de cloud- en Kubernetes-infrastructuur te graven. De lijst met geïdentificeerde kwetsbaarheden is als volgt:
- CVE-2025-12972 – Een kwetsbaarheid bij het doorlopen van paden die voortkomt uit het gebruik van onopgeschoonde tagwaarden om uitvoerbestandsnamen te genereren, waardoor het mogelijk wordt om willekeurige bestanden op schijf te schrijven of te overschrijven, waardoor geknoei met logboeken en uitvoering van code op afstand mogelijk wordt.
- CVE-2025-12970 – Een kwetsbaarheid voor stapelbufferoverloop in de Docker Metrics-invoerplug-in (in_docker) waardoor aanvallers de uitvoering van code kunnen activeren of de agent kunnen laten crashen door containers met buitensporig lange namen te maken.
- CVE-2025-12978 – Een kwetsbaarheid in de logica voor het matchen van tags zorgt ervoor dat aanvallers vertrouwde tags – die worden toegewezen aan elke gebeurtenis die door Fluent Bit wordt opgenomen – vervalsen door alleen het eerste teken van een Tag_Key te raden, waardoor een aanvaller logs kan omleiden, filters kan omzeilen en kwaadaardige of misleidende records onder vertrouwde tags kan injecteren.
- CVE-2025-12977 – Een onjuiste invoervalidatie van tags die zijn afgeleid van door de gebruiker gecontroleerde velden, waardoor een aanvaller nieuwe regels, doorloopreeksen en controletekens kan injecteren die downstream-logboeken kunnen beschadigen.
- CVE-2025-12969 – Een ontbrekende security.users-authenticatie in de in_forward plug-in die wordt gebruikt om logs te ontvangen van andere Fluent Bit-instanties met behulp van het Forward-protocol, waardoor aanvallers logs kunnen verzenden, valse telemetrie kunnen injecteren en de logs van een beveiligingsproduct kunnen overspoelen met valse gebeurtenissen.
“De hoeveelheid controle die deze klasse van kwetsbaarheden mogelijk maakt, zou een aanvaller in staat kunnen stellen dieper in een cloudomgeving binnen te dringen en kwaadaardige code uit te voeren via Fluent Bit, terwijl hij dicteert welke gebeurtenissen worden opgenomen, belastende gegevens wissen of herschrijven om hun sporen na een aanval te verbergen, nep-telemetrie injecteren en plausibele nep-gebeurtenissen injecteren om hulpverleners te misleiden”, aldus onderzoekers.
Het CERT Coördinatiecentrum (CERT/CC) zei in een onafhankelijk advies dat veel van deze kwetsbaarheden vereisen dat een aanvaller netwerktoegang heeft tot een Fluent Bit-instantie, en voegt eraan toe dat ze kunnen worden gebruikt voor het omzeilen van authenticatie, het uitvoeren van externe code, verstoring van de dienstverlening en tagmanipulatie.
Na verantwoordelijke openbaarmaking zijn de problemen aangepakt in versies 4.1.1 en 4.0.12 die vorige maand zijn uitgebracht. Amazon Web Services (AWS), dat zich ook bezighoudt met gecoördineerde openbaarmaking, heeft er bij klanten die Fluentbit gebruiken op aangedrongen om te updaten naar de nieuwste versie voor optimale bescherming.
Gezien de populariteit van Fluent Bit binnen bedrijfsomgevingen kunnen de tekortkomingen de toegang tot clouddiensten belemmeren, manipulatie van gegevens mogelijk maken en de controle over de logdienst zelf overnemen.
Andere aanbevolen acties zijn onder meer het vermijden van het gebruik van dynamische tags voor routering, het vergrendelen van uitvoerpaden en bestemmingen om op tags gebaseerde paduitbreiding of traversal te voorkomen, het koppelen van /fluent-bit/etc/ en configuratiebestanden als alleen-lezen om manipulatie van de runtime te blokkeren, en het uitvoeren van de service als niet-rootgebruikers.
De ontwikkeling komt meer dan een jaar nadat Tenable een fout in de ingebouwde HTTP-server van Fluent Bit (CVE-2024-4323 ook bekend als Linguistic Lumberjack) heeft beschreven die kan worden misbruikt om denial-of-service (DoS), het vrijgeven van informatie of het uitvoeren van code op afstand te bewerkstelligen.
