Tenable araştırmacılar, büyük bulut sağlayıcıları ve teknoloji şirketleri tarafından kullanılan bir günlük kaydı aracı olan Fluent Bit’te, hizmet reddi, bilgilerin ifşa edilmesi veya uzaktan kod yürütülmesi için kullanılabilecek kritik bir güvenlik açığı (CVE-2024-4323) keşfettiler.
CVE-2024-4323 Hakkında
Fluent Bit, Linux, BSD, macOS ve Windows için büyük hacimli günlük verilerini kolayca işleyebilen açık kaynaklı bir veri toplama, işleme ve iletme yardımcı programıdır; Google Cloud, AWS, Digital Ocean, Cisco, Sumo Logic gibi şirketlerin nedeni budur , Intel ve diğer yüksek profilli teknoloji şirketleri bunu kullanıyor.
CVE-2024-4323 (aka “Linguistic Lumberjack”), yardımcı programın yerleşik HTTP sunucusundaki bir arabellek taşması güvenlik açığıdır ve hizmeti çökerterek hizmet reddine yol açacak şekilde kullanılabilir.
“[The researchers] Ayrıca HTTP yanıtlarında döndürülen bitişik bellek parçalarını da alabildiler. Tenable araştırmacısı Jimi Sebree, “Bunun genellikle önceki ölçüm taleplerinden başka bir şeyi ortaya çıkarması pek olası olmasa da, araştırmacılar testleri sırasında ara sıra kısmi sırları elde edebildiler, bu da bu sorunun potansiyel olarak hassas bilgileri sızdırabileceğini gösteriyor” dedi.
Uzaktan kod yürütmek için bu güvenlik açığını kullanmanın çok daha zor olduğunu, bu nedenle acil bir risk olmadığını söyledi.
Kusurla ilgili daha fazla teknik ayrıntının yanı sıra güvenlik açığının çökme potansiyelini gösteren bir PoC’yi burada bulabilirsiniz.
Ne yapalım?
Sebree, “Bu sorun, ‘izler’ uç noktasına gönderilen ‘girişler’ dizisindeki değerlerin veri türlerinin doğru şekilde doğrulanmasıyla nihai olarak düzeltildi,” diye paylaştı.
Bunu kendi ortamlarında dağıtan şirketlerin, yakında piyasaya sürülecek olan Fluent Bit v3.0.4’e yükseltmeleri tavsiye ediliyor. Düzeltmeyi içeren Linux paketleri zaten mevcut. Bu mümkün değildir; Fluent Bit’in izleme API’sine erişimin yalnızca yetkili kullanıcılara ve hizmetlere verildiğinden emin olmaları gerekir.
“Fluent Bit’i kullandığı bilinen bulut hizmetlerine güveniyorsanız güncellemelerin veya hafifletici önlemlerin zamanında dağıtıldığından emin olmak için bulut sağlayıcınızla iletişime geçmenizi öneririz. Büyük bulut sağlayıcılarının kullanımıyla ilgili olarak Tenable, dahili önceliklendirme süreçlerine başlayabilmeleri için 15 Mayıs 2024’te ilgili güvenlik açığı açıklama mekanizmaları aracılığıyla Microsoft, Amazon ve Google’a bu sorunu bildirdi.”