Siber güvenlik araştırmacıları, açık kaynaklı ve hafif bir telemetri aracısı olan Fluent Bit’te, bulut altyapılarını tehlikeye atacak ve ele geçirecek şekilde zincirlenebilecek beş güvenlik açığı keşfetti.
Oligo Security, The Hacker News ile paylaştığı bir raporda, güvenlik kusurlarının “saldırganların kimlik doğrulamayı atlamasına, yol geçişi yapmasına, uzaktan kod yürütmesine, hizmet reddi koşullarına neden olmasına ve etiketleri değiştirmesine olanak tanıdığını” söyledi.
Kusurların başarılı bir şekilde kullanılması, saldırganların bulut hizmetlerini kesintiye uğratmasına, verileri manipüle etmesine ve bulut ve Kubernetes altyapısının derinliklerine inmesine olanak tanıyabilir. Tespit edilen güvenlik açıklarının listesi aşağıdaki gibidir:
- CVE-2025-12972 – Çıktı dosya adları oluşturmak için temizlenmemiş etiket değerlerinin kullanılmasından kaynaklanan, diskteki rastgele dosyaların yazılmasına veya üzerine yazılmasına, günlüklerde değişiklik yapılmasına ve uzaktan kod yürütülmesine olanak tanıyan bir yol geçiş güvenlik açığı.
- CVE-2025-12970 – Docker Metrics giriş eklentisindeki (in_docker) saldırganların aşırı uzun adlara sahip kapsayıcılar oluşturarak kod yürütmeyi tetiklemesine veya aracıyı çökertmesine olanak tanıyan bir yığın arabellek taşması güvenlik açığı.
- CVE-2025-12978 – Etiket eşleştirme mantığındaki bir güvenlik açığı, saldırganların, Tag_Key’in yalnızca ilk karakterini tahmin ederek Fluent Bit tarafından alınan her etkinliğe atanan güvenilir etiketleri taklit etmesine olanak tanır; bu da saldırganın günlükleri yeniden yönlendirmesine, filtreleri atlamasına ve güvenilir etiketler altına kötü amaçlı veya yanıltıcı kayıtlar eklemesine olanak tanır.
- CVE-2025-12977 – Kullanıcı tarafından kontrol edilen alanlardan türetilen etiketlerin hatalı giriş doğrulaması, bir saldırganın aşağı akış günlüklerini bozabilecek yeni satırlar, geçiş dizileri ve kontrol karakterleri eklemesine olanak tanır.
- CVE-2025-12969 – In_forward eklentisinde Forward protokolünü kullanarak diğer Fluent Bit örneklerinden günlük almak için kullanılan, saldırganların günlük göndermesine, yanlış telemetri enjekte etmesine ve bir güvenlik ürününün günlüklerini yanlış olaylarla doldurmasına olanak tanıyan eksik bir güvenlik.kullanıcı kimlik doğrulaması.
Araştırmacılar, “Bu güvenlik açıkları sınıfının sağladığı kontrol miktarı, bir saldırganın bulut ortamına daha derinlemesine sızmasına, Fluent Bit aracılığıyla kötü amaçlı kod yürütmesine, bu sırada hangi olayların kaydedileceğini belirlemesine, bir saldırı sonrasında izlerini gizlemek için suçlayıcı girişleri silmesine veya yeniden yazmasına, sahte telemetri enjekte etmesine ve yanıt verenleri yanıltmak için makul sahte olaylar enjekte etmesine olanak sağlayabilir” dedi.
Bağımsız bir danışma belgesinde CERT Koordinasyon Merkezi (CERT/CC), bu güvenlik açıklarının çoğunun bir saldırganın Fluent Bit örneğine ağ erişimine sahip olmasını gerektirdiğini ve bunların kimlik doğrulamayı atlama, uzaktan kod yürütme, hizmet kesintisi ve etiket manipülasyonu için kullanılabileceğini ekledi.
Sorumlu açıklamanın ardından sorunlar, geçen ay yayınlanan 4.1.1 ve 4.0.12 sürümlerinde giderildi. Aynı zamanda koordineli açıklama yapan Amazon Web Services (AWS), Fluentbit çalıştıran müşterilerini optimum koruma için en son sürüme güncelleme yapmaya çağırdı.
Fluent Bit’in kurumsal ortamlardaki popülaritesi göz önüne alındığında, eksikliklerin bulut hizmetlerine erişimi engelleme, verilere müdahale edilmesine izin verme ve kayıt hizmetinin kontrolünü ele geçirme potansiyeli var.
Önerilen diğer eylemler arasında yönlendirme için dinamik etiketlerin kullanılmasından kaçınmak, etiket tabanlı yol genişletmeyi veya geçişi önlemek için çıkış yollarını ve hedefleri kilitlemek, çalışma zamanı kurcalanmasını engellemek için /fluent-bit/etc/ ve yapılandırma dosyalarını salt okunur olarak eklemek ve hizmeti root olmayan kullanıcılar olarak çalıştırmak yer alır.
Bu gelişme, Tenable’ın Fluent Bit’in yerleşik HTTP sunucusundaki (CVE-2024-4323 diğer adıyla Linguistic Lumberjack) hizmet reddi (DoS), bilgi ifşası veya uzaktan kod yürütme amacıyla kullanılabilecek bir kusuru ayrıntılarıyla açıklamasından bir yıldan fazla bir süre sonra gerçekleşti.