Yaygın olarak kullanılan açık kaynaklı bir veri toplayıcı ve işlemci olan Fluent Bit’in büyük bir hafıza kaybı kusuruna sahip olduğu tespit edildi.
Birçok büyük bulut sağlayıcısı günlük kaydı için Fluent Bit’i kullanıyor çünkü kullanımı kolay ve gerektiğinde büyütülüp küçültülebiliyor.
Tenable Research, Fluent Bit’in yerleşik HTTP sunucusunu etkileyen ve CVE-2024-4323 olarak adlandırılan kusuru buldu.
Bu hata, hizmet reddine (DoS), bilgi kaybına veya uzaktan kod yürütülmesine (RCE) neden olabilir.
ANYRUN malware sandbox’s 8th Birthday Special Offer: Grab 6 Months of Free Service
Teknik detaylar
Zayıflık bulunduğunda bulut hizmetindeki bir güvenlik açığı inceleniyordu.
Araştırmacılar, çeşitli Fluent Bit örnekleri gibi çeşitli ölçümlere ve günlük URL’lerine erişebileceklerini keşfettiler.
Sorun, /api/v1/traces uç noktasına yapılan çağrıların “inputs” dizisindeki veri türlerinin doğru şekilde kontrol edilmemesinden kaynaklanmaktadır.
Tamsayılar gibi dize olmayan sayılar göndererek belleğe zarar verebilir.
Bu, programın çökmesine, yığına çok fazla veri göndermesine veya veri kaybına neden olabilir.
Fluent Bit’in izleme API’sindeki bellek bozulması hatasından yararlanmanın birkaç yolu vardır:
- Büyük Tam Sayı Değerleri: Memcpy()’ye daha sonra yapılan bir çağrıdaki “joker kopya” programın çökmesine neden olabilir.
- Negatif Değerler: 1 ile 16 arasındaki değerler yığının yanlarındaki belleğin üzerine yazmasına neden olabilir.
- Küçük Tam Sayı Değerleri: Bu, istemcinin yakındaki belleği görmesine olanak tanıyabilir. Değer -17 ise, başarısız bir sıfır malloc() işleminden sonra boş işaretçi referansının değişmesi nedeniyle çökmeye yol açar.
- Hedeflenen Tam Sayı Değerleri: Aşağıdaki değerler yığın bozulmasına ve diğer bellek bozulması sorunlarına neden olabilir.
Uzmanlar laboratuvardaki bu kusuru hizmeti çökertmek ve hizmet reddi olayını başlatmak için kullandı.
Ayrıca yan yana olan anı parçalarını da geri alabiliyorlardı; bu bazen sırların bir kısmını açığa çıkarıyor ve bilginin dışarı çıktığı anlamına gelebiliyordu.
Azaltma ve Öneriler
Fluent Bit’in geliştiricilerine sorun 30 Nisan 2024’te bildirildi ve 15 Mayıs 2024’te projenin ana şubesine bir düzeltme eklendi.
Düzeltme, “girişler” dizisindeki veri türlerinin doğru olduğundan emin olmayı içerir.
Kullanıcıların en yeni sürüme (3.0.4) çıktığı anda güncelleme yapmaları önerilmektedir.
Yükseltme yapamıyorsanız Fluent Bit’in izleme API’sine bakmalı ve yalnızca onaylı kullanıcıların buna erişebildiğinden emin olmalısınız.
Yukarıdaki hata ayıklayıcı çıktısı bir yığın arabellek taşmasını gösterir, ancak sonuçta çökme, korumalı bir bellek bölgesine yazma girişiminden kaynaklanır.
Fluent Bit kullanan bulut hizmetlerine bağımlıysanız güncelleme veya düzeltmeleri mümkün olan en kısa sürede aldığınızdan emin olmak için bulut kaynağıyla iletişime geçmelisiniz.
Sorun Microsoft, Amazon ve Google gibi büyük bulut hizmeti şirketlerine bildirildi.
CVE-2024-4323’ün keşfi, düzenli güncellemeler ve sıkı güvenlik önlemleri almak için günlüğe kaydetme ve izleme araçlarının önemini göstermektedir.
Saldırganların güçlerini kötüye kullanmasını önlemek için işletmelerin derinlemesine savunma stratejilerini ve en az ayrıcalık kavramını kullanması gerekir.
Günlük kaydı altyapısı hem bulut tabanlı hem de şirket içi ayarların önemli bir parçası olduğundan, güvenliği sürdürmek için bu sorunların derhal düzeltilmesi gerekir.
Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers