Tenable Research’ün bulut araştırma ekibi, CVE-2024-4323 olarak takip edilen ve “Linguistic Lumberjack” olarak adlandırılan, 2022’de 3 milyardan fazla indirmeyle tüm büyük bulut sağlayıcıları tarafından yaygın olarak kullanılan bir günlük kaydı aracı olan Fluent Bit’te bulunan kritik bir bellek bozulması güvenlik açığı keşfetti.
Dilbilimsel Oduncu nedir?
Araştırmacılar, blog yazılarında Fluent Bit’in çeşitli uygulama ve sistemlerden günlükleri toplayıp işleyerek bulut güvenliğinde hayati bir rol oynayan “hafif, açık kaynaklı bir veri toplayıcı ve işlemci” olduğunu açıkladı.
Bu günlükler, sistem sağlığına ve potansiyel güvenlik tehditlerine ilişkin değerli bilgiler sağlar. Linguistic Lumberjack özellikle Fluent Bit’in günlük verilerini alan yerleşik HTTP sunucusunu hedefler.
Tenable araştırmacılar, Fluent Bit örnekleri de dahil olmak üzere bulut hizmetleri içindeki ölçümlere ve günlüğe kaydetme uç noktalarına erişebileceklerini ve bunun potansiyel olarak kiracılar arası bilgi sızıntısına yol açabileceğini keşfetti. Ancak ayrı bir ortamda yapılan testlerde bellek bozulması sorunu ortaya çıktı.
Fluent Bit’in izleme API’si, yöneticilerin dahili hizmet bilgilerini sorgulamasına ve izlemesine olanak tanır; /api/v1/traces gibi uç noktalar, son kullanıcıların yapılandırılmış izleri etkinleştirmesine, devre dışı bırakmasına veya almasına olanak tanır.
CVE-2024-4323 Tehdit Kapsamı
Bu güvenlik açığı, bir saldırgan tarafından üç şekilde hasara neden olacak şekilde kullanılabilir: Hizmet Reddi (DoS), Bilginin İfşa Edilmesi ve Uzaktan Kod Yürütme. Saldırgan, Fluent Bit hizmetini çökerterek günlükleri işlemesini engelleyebilir ve bu da bulut güvenlik ekiplerinin gözlerini kamaştırabilir.
Ayrıca günlüklerdeki, şifreler ve kişisel bilgiler de dahil olmak üzere hassas bilgilere de erişebilirler. En kötü senaryoda, saldırgan sisteme uzaktan erişim sağlayabilir ve kötü amaçlı kod çalıştırabilir; böylece kötü amaçlı yazılım yüklemesine, verileri çalmasına veya bulut ortamını kontrol etmesine olanak tanıyabilir.
Azaltma Stratejileri
Sorun, projenin geliştiricilerine 30 Nisan 2024’te bildirildi ve düzeltmeler 15 Mayıs’ta buradan erişebileceğiniz 3.0.4 sürümünde yayınlandı. Tenable ayrıca dahili önceliklendirme süreçlerini başlatmak için 15 Mayıs 2024’te güvenlik açığı açıklama mekanizmaları aracılığıyla sorunu Microsoft, Amazon ve Google’a bildirdi.
Eğer altyapınızda Fluent Bit kurulu ise son sürüme yükseltmeniz tavsiye edilir. Yükseltme mümkün değilse, yalnızca yetkili kullanıcıların ve hizmetlerin sorgulayabilmesini sağlamak için Fluent Bit’in izleme API’sine erişime izin veren yapılandırmaları gözden geçirin. Kullanılmıyorsa bu uç noktayı devre dışı bırakın. Fluent Bit kullanan bulut hizmetlerine güveniyorsanız güncellemelerin veya azaltıcı önlemlerin zamanında uygulandığından emin olmak için sağlayıcınızla iletişime geçin.
İLGİLİ KONULAR
- Devasa Bulut Veritabanı Sızıntısı 380 Milyon Kaydı Ortaya Çıkardı
- Qubitstrike Kötü Amaçlı Yazılım, Bulut Verileri için Jupyter Notebook’ları Etkiliyor
- OwnCloud “graphapi” Uygulamasındaki Güvenlik Açığı, Hassas Verileri Açığa Çıkarıyor
- Shadow IT: Kişisel GitHub Depoları Çalışanların Bulut Sırlarını Açığa Çıkarıyor
- Yeni Güvenlik Açığı “LeakyCLI” AWS ve Google Cloud Kimlik Bilgilerini Sızdırıyor