Araştırmacılar, büyük bulut platformlarında kullanılan bir bulut günlüğe kaydetme yardımcı programında ciddi bir bellek bozulması güvenlik açığı keşfettiler.
Fluent Bit hizmeti, günlükleri ve diğer uygulama verilerini toplamak, işlemek ve iletmek için kullanılan açık kaynaklı bir araçtır. Birden fazla özelliğiyle piyasadaki en popüler yazılım parçalarından biridir. 3 milyar indirme 2022 itibarıyla her geçen gün 10 milyon kadar yeni konuşlandırma gerçekleşiyor. VMware, Cisco, Adobe, Walmart ve LinkedIn gibi büyük kuruluşların yanı sıra AWS, Microsoft ve Google Cloud dahil neredeyse tüm büyük bulut hizmet sağlayıcıları tarafından kullanılır.
“Dilsel Oduncu” olarak adlandırılan Fluent Bit ile ilgili sorun Tenable’dan yeni bir rapor, hizmetin yerleşik HTTP sunucusunun izleme isteklerini nasıl ayrıştırdığıyla ilgilidir. Öyle ya da böyle manipüle edildiğinde, bulut ortamında hizmet reddine (DoS), veri sızıntısına veya uzaktan kod yürütülmesine (RCE) neden olabilir.
“Herkes bir konuda heyecanlanır Azure, AWS, GCP’deki güvenlik açığı, Tenable’ın kıdemli personel araştırma mühendisi Jimi Sebree, ancak hiç kimse aslında tüm bu büyük bulut hizmetlerini oluşturan teknolojilere (şu anda tüm büyük bulut sağlayıcılarını etkileyen ortak, temel yazılım parçalarına) bakmıyor” diyor. uygulama güvenlik bombaları ve yalnızca hizmetlerin kendisi değil, hizmetlerin benzer bileşenleri.”
Dilbilimsel Oduncu Etkisi
Güvenilir araştırmacılar başlangıçta açıklanmayan bir bulut hizmetinde tamamen ayrı bir güvenlik sorununu araştırırken beklenmedik bir şeyin olduğunu fark ettiler. Oturdukları yerden, bulut hizmeti sağlayıcısının (CSP) kendi dahili ölçümlerinin ve kayıt uç noktalarının geniş bir yelpazesine erişebildikleri görülüyordu. Bunlar arasında Fluent Bit örnekleri de vardı.
Bu çapraz kiracı Fluent Bit’in, kullanıcıların dahili verilerini sorgulamasına ve izlemesine olanak sağlamak için tasarlanan izleme uygulaması programlama arayüzündeki (API) uç noktalardan veri sızıntısı meydana geldi. Ancak bazı testlerden sonra, bir miktar sızdırılan verinin yalnızca daha derin bir sorunun başlangıcı olduğu ortaya çıktı.
Belirli bir uç nokta için (/api/v1/traces) giriş adları olarak iletilen veri türleri, program tarafından ayrıştırılmadan önce uygun şekilde doğrulanmadı. Yani bir saldırgan dize dışı değerleri ileterek Fluent Bit’te her türlü bellek bozulması sorununa neden olabilir. Araştırmacılar, özellikle hizmetin çökmesine ve potansiyel olarak hassas verilerin sızdırılmasına neden olacak hatalara başarılı bir şekilde neden olmak için çeşitli pozitif ve negatif tamsayı değerlerini denedi.
Saldırganlar aynı hileyi hedeflenen ortamda RCE yetenekleri kazanmak için de kullanabilirler. Ancak Tenable, böyle bir istismarın geliştirilmesinin, hedefin belirli işletim sistemi ve mimarisine göre özelleştirilerek büyük bir çaba gerektireceğini belirtti.
Bu Konuda Ne Yapmalı?
Hata, Fluent Bit’in 2.0.7’den 3.0.3’e kadar olan sürümlerinde mevcut. CVE-2024-4323 altında izleniyor ve çeşitli siteler atandı CVSS skorları 10 üzerinden 9,5’in üzerinde “kritik”. 30 Nisan’da bildirildikten sonra Fluent Bit’in yöneticileri hizmeti güncelledi sorunlu uç noktanın giriş alanındaki veri türlerini doğru şekilde doğrulamak için. Düzeltme, 15 Mayıs’ta projenin GitHub’daki ana şubesine uygulandı.
Kendi altyapılarında ve ortamlarında Fluent Bit konuşlandırılmış kuruluşların mümkün olan en kısa sürede güncelleme yapmaları tavsiye edilir. Alternatif olarak Tenable, yöneticilerin Fluent Bit’in izleme API’si ile ilgili tüm yapılandırmaları inceleyerek yalnızca yetkili kullanıcıların ve hizmetlerin sorgulayabildiğinden, hatta hiçbir kullanıcı veya hizmetin sorgulayamadığından emin olabileceğini öne sürüyor.