Fluent Bit’in yerleşik HTTP sunucusunda “Linguistic Lumberjack” (CVE-2024-4323) olarak adlandırılan yeni bir kritik güvenlik açığı keşfedildi.
Bu güvenlik açığından yararlanılması aynı zamanda hizmet reddine, bilgilerin açığa çıkmasına veya uzaktan kod yürütülmesine de yol açabilir. Şiddeti 9,8 olarak verilmiştir (Kritik).
Ancak bu güvenlik açığı Fluent Bit’in 2.0.7’den 3.0.3’e kadar olan sürümlerinde mevcuttur. Bu güvenlik açığına yönelik yamanın Fluent Bit 3.0.4’ün son sürümünde olması bekleniyor.
Fluent Bit, birden fazla kaynaktan gelen büyük hacimli günlük verilerini işleyebilen hafif, açık kaynaklı bir veri toplayıcı ve işlemcidir.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
Dilbilimsel Oduncu Güvenlik Açığı – CVE-2024-4323
Tenable tarafından paylaşılan raporlara göre bu güvenlik açığı, Fluent Bit’in yerleşik HTTP sunucusundaki bellek bozulmasıyla ilgiliydi; Hizmet Reddi, Bilgi İfşası veya Uzaktan kod yürütme amacıyla bu güvenlik açığından yararlanılabilir.
Fluent Bit’in izleme API’si, yöneticilerin veya diğer kullanıcıların hizmetin içindeki bilgileri sorgulamasına ve izlemesine olanak sağlamak için tasarlanmıştır.
Fluent Bit’in uç noktaları arasında /api/v1/traces ve /api/v1/trace, son kullanıcıların yapılandırılmış izlemeleri etkinleştirmesine, devre dışı bırakmasına veya bunlarla ilgili bilgileri almasına olanak tanır. Bununla birlikte, izlerin yapılandırılıp yapılandırılmadığına bakılmaksızın tüm kullanıcılar bu API uç noktası sorgusuna erişebilir.
Güvenlik açığı, istekler /api/v1/traces uç noktasına ayrıştırılırken giriş adlarının veri türlerinin hatalı şekilde doğrulanması nedeniyle ortaya çıkıyor.
String olmayan değerler ayrıştırıldığında Fluent Bit’te çeşitli bellek bozulmalarına neden olmak mümkündür.
Kodun daha ayrıntılı analizinde, bu etkinliğin flb_sds_create_len() işlevi tarafından atanan input_name değişkeninden kaynaklandığı gözlemlendi.
input_name değişkeninin değerleri tamsayı olarak iletildiğinde bu değerin işaretçisi girdi olarak verilir ve ham tamsayı değeri değerin “boyutu” olarak sağlanır.
.webp)
Büyük tam sayı değerleri veya negatif değerler iletildiğinde, Fluent Bit, korumalı belleğe yazma girişimi sırasında memcpy()’ye yapılan “wild copy” çağrısı nedeniyle çökebilir.
Ek olarak, negatif değerler bitişik belleğin yığın üzerine yazılmasına neden olarak benzer bir duruma neden olabilir.
Yığın bozulmasını başlatmak için yeterince büyük değerlere sahip tam sayı değerleri ve daha küçük veya daha fazla hedeflenen tam sayı değerleri içeren iki senaryo daha vardı.
İstismarın Test Edilmesi
Araştırmacılar bu güvenlik açığından başarıyla yararlanarak hizmetin çökmesine ve hizmet reddine neden oldu. Ayrıca HTTP yanıtlarındaki bitişik bellek parçalarını da alabilirler.
Bu parçaları analiz eden araştırmacılar, potansiyel olarak hassas bilgileri sızdırabilecek kısmi sırları açığa çıkaran daha fazla veri yükü hazırladılar.
Bu da bir bilginin açığa çıkmasına neden oldu.
Uzaktan kod yürütmede, ana bilgisayar mimarisine ve işletim sistemine bağlı çeşitli faktörler vardı.
Bir istismarın işlenmesi zamana duyarlı olsa da yine de istismar edilebilirdi. Ancak bu taahhüt, bu hatalı giriş doğrulamasını düzeltir.
Kavramın ispatı
Hizmet Reddi
Aşağıdaki Python kodu Fluent Bit’in çökmesine ve kullanılamaz hale gelmesine neden olabilir. Talepler şu adrese iletildi: izler uç nokta.
.webp)
Tehdit aktörlerinin bu güvenlik açığından yararlanmasını önlemek için Fluent Bit kullanıcılarının en son sürüme yükseltmeleri önerilir.
ANYRUN kötü amaçlı yazılım korumalı alanının 8.’si Doğum Günü Özel Teklifi: 6 Aylık Ücretsiz Hizmet Kazanın