Araştırmacılar, AWS, Google Cloud ve Microsoft Azure gibi büyük sağlayıcılar arasında bulut altyapısına gömülü her yerde bulunan bir kayıt programı olan akıcı bitinde kritik sıfır günlük güvenlik açıklarını ortaya çıkardılar.
Kusurlar CVE-2024-50608 ve CVE-2024-50609 (CVSS 8.9) olarak izlenen kusurlar, akıcı bitin Prometheus uzaktan yazma ve opentelemetri eklentilerinde null işaretçisi dereference zayıflıklarını kullanır.
15 milyardan fazla indirme ve günlük 10 milyon dağıtım ile bu güvenlik açıkları küresel işletme ve bulut ekosistemlerini tehdit ediyor.
Mekanik ve Saldırı Yüzeyinden İstismar
Prometheus uzaktan yazma güvenlik açığı, içerik uzunluğu ile bir HTTP yayın isteği göndererek kimlik doğrulanmamış saldırganların akıcı bit sunucularını çarpmasına izin verir: 0.
Bu, metrik verilerini ayrıştırırken işlem_payload_metrics_ng () işlevindeki boş bir işaretçi ayrımını tetikler. Kavram kanıtı CURL komutu, sömürünün sadeliğini gösterir:
Benzer şekilde, openTelemetri eklentisi, izleme yapılandırma isteklerindeki giriş türlerini doğrulayamaz. /API/V1/İzleme Uç Noktasına Diz olmayan değerler (örneğin, tamsayılar) göndermek, yığın belleğini bozarak DOS veya kısmi gizli sızıntıyı mümkün kılar.
Tenable’ın laboratuvar testleri bitişik bellek maruziyetini doğruladı ve bazen hassas metrik verilerini ortaya çıkardı.
Fluent Bit’in mimarisi, giriş ayrıştırma, filtreleme ve çıkış yönlendirmesini kapsayarak riskleri artırır. Örneğin, yanlış yapılandırılmış HTTP giriş eklentileri (aşağıda) API’leri kötü amaçlı yüklere maruz bırakır:
Etki: Bulut Altyapısı ve Kurumsal Maruz Kalma
Fluent Bit’in Kubernetes ve Bulut İzleme Yığınlarına entegrasyonu, hizmetler arasında güvenlik açıkları çağrışımları anlamına gelir.
Cisco, Splunk ve VMware büyük kullanıcılarken, AWS Elastik Kubernetes Service (EKS) gibi hiperserler varsayılan olarak yerleştirilir.
Bu kusurlardan yararlanan saldırganlar, günlük boru hatlarını bozabilir, olay tepkisini ve uyumluluk iş akışlarını felç eder.
Boofuzz kullanan Ebryx’in bulanık kampanyaları sistemik sorunları ortaya çıkardı. Örneğin, bu senaryo Prometheus eklentisinin HTTP işleyicisini bulanıklaştırdı:
FLB_SDS_CREATE_LEN () ‘de giriş validasyon eksikliği önemsiz DOS saldırılarına izin verdi.
Azaltma ve endüstri tepkisi
Akıcı bit koruyucular v3.0.4’te yamalar çıkardı, v2.2.3’e geri döndü. Temel iyileştirmeler şunları içerir:
- Akıcı bit örneklerinin hemen yama.
- API erişimini ağ politikaları veya kimlik doğrulaması yoluyla kısıtlamak.
- /API/V1/izler gibi kullanılmayan uç noktaları devre dışı bırakma.
İşletmeler akıcı bit konfigürasyonlarını denetlemeli, segment izleme ağlarını ve sürekli bulanık stratejileri benimsemelidir.
Tenable’ın Açıklama Zaman Çizelgesinin gösterdiği gibiAWS, Google ve Microsoft ile koordine edilen sektörün işbirlikçi yama çabası, yaygın sömürüyü önledi.
Bununla birlikte, günlük 10 milyon tehlike ile konuşlandırılmasıyla, açılmamış sistemlerin sınırlı tepki süresi vardır.
Ücretsiz Web Semineri: Olay yanıtı ve tehdit avı için etkileşimli kötü amaçlı yazılım sanal alanına sahip daha iyi SOC – buraya kaydolun