Fluent Bit’te keşfedilen beş kritik güvenlik açığından oluşan yeni bir zincir, milyarlarca konteynerli ortamı uzaktan tehlikeye maruz bıraktı.
Dünya çapında 15 milyardan fazla kez konuşlandırılan açık kaynaklı bir günlük kaydı ve telemetri aracısı olan Fluent Bit, modern bulut altyapısının merkezinde yer alır.
Araç, bankacılık sistemleri, AWS ve Microsoft Azure gibi bulut platformları ve Kubernetes ortamları genelinde günlükleri toplar, işler ve iletir.
Bu ölçekte arızalar meydana geldiğinde, yalnızca bireysel sistemleri etkilemez, aynı zamanda tüm bulut ekosistemine yayılır.
Yeni açıklanan bu kusurlar, saldırganların kimlik doğrulamayı atlamasına, yetkisiz dosya işlemleri gerçekleştirmesine, uzaktan kod yürütmesine ve temizlenmemiş etiket manipülasyonu yoluyla hizmet reddi saldırılarına neden olmasına olanak tanıyor.
Saldırı yüzeyi birden fazla kritik işlevselliğe uzanır. Bu güvenlik açıklarından yararlanan saldırganlar bulut hizmetlerini kesintiye uğratabilir, verilere müdahale edebilir ve izlerini gizleyerek kötü amaçlı kod çalıştırabilir.
Günlüğe kaydetme hizmeti davranışını kontrol ederek, saldırganlar sahte telemetri ekleme, günlükleri yetkisiz hedeflere yeniden yönlendirme ve hangi olayların kaydedileceğini değiştirme yeteneğini kazanır.
Bazı güvenlik açıkları sekiz yılı aşkın süredir yama yapılmadan kaldı ve bulut ortamları kararlı saldırganlara açık hale geldi. Oligo Security’deki güvenlik araştırmacıları, bu kusurları AWS ile işbirliği yaparak koordineli güvenlik açığı açıklamaları yoluyla tespit etti.
Araştırma, temel altyapı bileşenlerindeki zayıflıkların, dünya çapında milyonlarca konuşlandırmayı etkileyen karmaşık saldırı zincirlerine nasıl olanak sağlayabileceğini gösteriyor.
Oligo Güvenlik analistleri, Fluent Bit’in giriş ve çıkış eklentilerinin kapsamlı güvenlik değerlendirmelerini yaptıktan sonra güvenlik açıklarını belirledi.
Araştırma ekibi, kimlik doğrulama mekanizmalarının, giriş doğrulamanın ve arabellek işlemenin kritik güvenlik açıkları içerdiğini keşfetti.
Bulguları, AWS ve Fluent Bit bakımcıları ile anında koordinasyon kurulmasını sağladı ve bunun sonucunda 4.1.1 sürümünde düzeltmeler yayınlandı.
Yol Geçişi ve Dosya Yazma Güvenlik Açıklarının Teknik Dağılımı
CVE-2025-12972, zincirdeki en tehlikeli kusurlardan birini temsil ediyor. Fluent Bit’teki Dosya çıktısı eklentisi, iki yapılandırma parametresini kullanarak günlükleri doğrudan dosya sistemine yazar: Yol ve Dosya.
Çoğu yaygın yapılandırma yalnızca Yol seçeneğini kullanır ve dosya adlarını kayıt etiketlerinden türetir. Ancak eklenti, dosya yollarını oluşturmadan önce bu etiketleri temizlemede başarısız olur. Saldırganlar, hedeflenen dizinden çıkmak ve dosyaları sistemin herhangi bir yerine yazmak için etiket değerlerinin içine “../” gibi yol geçiş dizileri enjekte edebilir.
.webp)
Saldırganlar, günlük içeriği manipülasyonu yoluyla bu dosyalara yazılan veriler üzerinde kısmi kontrol sahibi olduklarından, kritik sistem konumlarında kötü amaçlı yapılandırma dosyaları, komut dosyaları veya yürütülebilir dosyalar oluşturabilirler.
Fluent Bit yükseltilmiş ayrıcalıklarla çalıştığında bu, uzaktan kod yürütülmesine yol açar. HTTP girişi Tag_Key ayarlarıyla yapılandırıldığında ve Dosya çıkışında açık bir Dosya parametresi bulunmadığında, güvenlik açığından yararlanılabilir hale gelir.
Dosya çıktısıyla birleştirilmiş ileri girdiyi kullanan yapılandırmalar da aynı derecede savunmasızdır ve kimliği doğrulanmamış saldırganların kötü amaçlı etiketler eklemesine ve rastgele dosyalar yazmasına olanak tanır.
| CVE Kimliği | Güvenlik Açığı Türü | Etkilenen Bileşen | CVSS Önem Derecesi | Darbe |
|---|---|---|---|---|
| CVE-2025-12972 | Yol Geçişi Dosya Yazma | out_file eklentisi | Kritik | RCE, Günlük Üzerinde Değişiklik Yapma |
| CVE-2025-12970 | Yığın Arabellek Taşması | in_docker eklentisi | Kritik | DoS, RCE |
| CVE-2025-12978 | Kısmi Dize Karşılaştırması | HTTP/Splunk/Elasticsearch girişleri | Kritik | Etiket Sahtekarlığı |
| CVE-2025-12977 | Uygunsuz Giriş Doğrulaması | HTTP/Splunk/Elasticsearch girişleri | Kritik | Enjeksiyon Saldırıları |
| CVE-2025-12969 | Kimlik Doğrulaması Eksik | in_forward eklentisi | Kritik | Yetkisiz Erişim |
Fluent Bit çalıştıran tüm kuruluşlar için 4.1.1 veya 4.0.12 sürümüne anında yama uygulanması kritik öneme sahiptir. Kuruluşlar, saldırılara maruz kalmayı sınırlamak için üretim dağıtımlarının güncellenmesine öncelik vermeli ve yapılandırma değişikliklerini uygulamalıdır.
Statik, önceden tanımlanmış etiketler, güvenilmeyen girişlerin yönlendirme ve dosya işlemlerini etkilemesini ortadan kaldırır. Çıkış yapılandırmalarında açık Yol ve Dosya parametrelerinin ayarlanması, dinamik etiket tabanlı yol oluşumunu engeller.
Fluent Bit’i root dışı ayrıcalıklarla ve salt okunur olarak eklenen yapılandırma dosyalarıyla çalıştırmak, başarılı bir şekilde yararlanmanın etkisini önemli ölçüde azaltır. AWS zaten dahili sistemlerini güvence altına aldı ve tüm müşterilerinin hemen yükseltme yapmasını öneriyor.
Güvenlik topluluğu, bu güvenlik açıklarını, kritik altyapı bileşenlerinin koordineli güvenlik açıklamalarını ele almak için genellikle sınırlı kaynaklara sahip gönüllü bakımcılara güvendiği açık kaynak güvenlik raporlamasındaki sistemik zorlukların kanıtı olarak görüyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
