Büyük bulut altyapı hizmetlerinde yaygın olarak kullanılan bir günlük kaydı ve ölçüm izleme aracı olan Fluent Bit’te “Linguistic Lumberjack” olarak adlandırılan kritik bir güvenlik açığı (CVE-2024-4323) bulundu.
Fluent Bit, Windows, Linux ve macOS işletim sistemlerindeki çeşitli kaynaklardan gelen büyük hacimli günlük verilerini işlemek için tasarlanmış açık kaynaklı, hafif bir veri toplayıcı ve işlemci hizmetidir. Ölçeklenebilirliği ve kullanım kolaylığı, onu bulut ortamlarında kullanım için tercih edilen bir seçenek haline getiriyor ve günde en az 10 milyon dağıtım görüyor.
Linguistic Lumberjack güvenlik açığı, saldırganların Hizmet Reddi (DoS) saldırıları yürütmesine, hassas bilgileri ifşa etmesine ve hatta uzaktan kod yürütme (RCE) yetenekleri kazanmasına olanak tanıyabilir.
Dilbilimsel Oduncu Güvenlik Açığı
Linguistic Lumberjack güvenlik açığı, Fluent Bit’in yerleşik HTTP sunucusundaki, özellikle de /api/v1/traces uç noktasını işleme biçimindeki yığın arabellek taşması kusurundan kaynaklanıyor. Bu uç nokta, yöneticilerin FluentBit’in izleme ve izleme işlemlerini nasıl gerçekleştireceğini yapılandırmasına olanak tanır.
Ancak, giriş türlerinin doğru şekilde doğrulanmaması nedeniyle, bir isteğin “inputs” dizisinde dize olmayan değerlerin (tamsayılar gibi) gönderilmesi hafıza bozulmasına neden olabilir. Kod hatalı bir şekilde bu değerlerin geçerli MSGPACK_OBJECT_STR’ler olduğunu varsayar.
Bir saldırgan, “girişler” dizi alanındaki tamsayı değerlerinin kasıtlı olarak iletilmesi yoluyla, yığın arabellek taşmaları ve korumalı bellek bölgelerine yazma girişimleri nedeniyle çökmeler dahil olmak üzere çeşitli bellek bozulması sorunlarını tetikleyebilir.
Tenable araştırmacıları, kontrollü bir ortamda, gerçek hayattaki bir senaryoda potansiyel olarak hassas bilgiler içerebilecek hizmet çökmelerini (DoS) ve bitişik bellek içeriklerinin sızıntısını tetiklemek için güvenlik açığından başarıyla yararlandı. Saldırganlar, belirli çevresel faktörler altında bu güvenlik açığından yararlanarak hizmet reddi koşullarına veya uzaktan kod yürütülmesine bile neden olabilir.
Fluent Bit yardımcı programı hizmeti, Amazon AWS, Google GCP ve Microsoft Azure’un başlıca Kubernetes dağıtımlarına derinlemesine entegre edilmiştir. Bulut sağlayıcılarının ötesinde Fluent Bit’e Cisco, VMware, Intel, Adobe ve Dell gibi birçok büyük teknoloji şirketi de güveniyor. Yardımcı programın aynı zamanda birçok büyük siber güvenlik şirketi tarafından kullanıldığı da biliniyor.
Azaltma ve İyileştirme
Kritik bellek bozulması güvenlik açığı, Fluent Bit’in 2.0.7 sürümünde ortaya çıktı ve 27 Nisan 2024’te yayımlanan yazılımın 3.0.3 sürümüne kadar mevcut. Sorun, beklenen düzeltmeyle birlikte Fluent Bit’in ana kaynak dalında düzeltildi. Yazılımın gelecek 3.0.4 sürümüne dahil edilecek. Linux için düzeltmeyi içeren paketler zaten indirilebilir.
Hemen yükseltme yapamayan kullanıcılar için araştırmacılar, Fluent Bit’in izleme API’sine mevcut erişimin gözden geçirilmesini, erişimin yalnızca yetkili kullanıcılar ve hizmetlerle sınırlandırılmasını ve kullanımda değilse uç noktanın devre dışı bırakılmasını önerdi.
Fluent Bit kullandığı bilinen bulut hizmetlerine güvenen kuruluşlar için, güncellemelerin veya azaltımların zamanında yapılmasını sağlamak için bulut sağlayıcısına başvurmanız önerilir. Araştırmacılar, hatanın varlığını büyük bulut sağlayıcılarına 15 Mayıs 2024’te bildirerek kendi dahili yanıtlarını başlatmalarına olanak sağladı.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.