نفوذ پنهانی در زیرساخت‌های ابری از راه Fluent Bit

پژوهشگران امنیت سایبری پنج آسیب‌پذیری تازه را در Fluent Bit، ابزار سبک و متن‌باز جمع‌آوری و پردازش داده‌های سیستم، شناسایی کرده‌اند که در صورت بهره‌برداری زنجیره‌ای، می‌تواند کنترل بخش‌های مهمی از زیرساخت‌های ابری را در اختیار مهاجم قرار دهد.

به گزارش افتانا، پژوهشگران امنیت سایبری پنج آسیب‌پذیری مهم را در Fluent Bit شناسایی کرده‌اند که می‌تواند به مهاجم اجازه دهد کنترل بخش‌هایی از زیرساخت‌های ابری را در اختیار بگیرد. در میان این ضعف‌ها، CVE-2025-12972 ناشی از استفاده از مقادیر پاک‌سازی‌نشده برچسب‌ها برای تولید نام فایل خروجی است و می‌تواند به بازنویسی فایل‌های دلخواه، دستکاری لاگ‌ها و اجرای کد از راه دور منجر شود. CVE-2025-12970 سرریز بافر پشته در افزونه Docker Metrics را هدف قرار می‌دهد و مهاجم با ایجاد کانتینرهایی با نام‌های بسیار طولانی قادر به اجرای کد یا ازکارانداختن عامل خواهد بود. همچنین CVE-2025-12978 نقصی در منطق تطبیق برچسب‌هاست که به مهاجم اجازه می‌دهد تنها با حدس زدن اولین کاراکتر Tag_Key، برچسب‌های مورد اعتماد را جعل کند و مسیر لاگ‌ها و فیلترها را تغییر دهد.

از دیگر آسیب‌پذیری‌ها می‌توان به CVE-2025-12977 اشاره کرد که اعتبارسنجی ورودی برچسب‌ها را نادیده می‌گیرد و امکان تزریق کاراکترهای کنترلی، توالی‌های پیمایش و محتوای مخرب را فراهم می‌کند. در نهایت، CVE-2025-12969 به نبود احراز هویت در افزونه in_forward مربوط است و مهاجم می‌تواند لاگ‌های جعلی ارسال کرده، داده‌ها را دستکاری کند و سیلابی از رویدادهای نادرست را به محصولات امنیتی تزریق کند. بهره‌برداری از این ضعف‌ها می‌تواند مهاجم را قادر سازد رویدادهای ثبت‌شده را تغییر دهد، ردپاهای فعالیت مخرب را پاک کند و حتی اطلاعات جعلی وارد سیستم کند تا تیم‌های پاسخ‌گویی را گمراه سازد.
پژوهشگران تأکید کرده‌اند مجموعه این نواقص آن‌قدر دامنه نفوذ ایجاد می‌کند که مهاجم می‌تواند از طریق Fluent Bit در محیط ابری پیشروی کند، کد مخرب اجرا کند، رویدادهای ثبت‌شده را مطابق میل خود تغییر دهد، نشانه‌های فعالیت مخرب را حذف یا بازنویسی کند، تلمتری جعلی ارسال کند و حتی رویدادهای ساختگی ایجاد کند تا تیم‌های پاسخ‌گویی را گمراه سازد. مرکز هماهنگی CERT/CC نیز در اطلاعیه‌ای جداگانه هشدار داده است بسیاری از این ضعف‌ها با داشتن دسترسی شبکه‌ای به یک نمونه Fluent Bit قابل سوءاستفاده هستند و می‌توانند به دور زدن احراز هویت، اجرای کد، ایجاد اختلال در سرویس و دستکاری برچسب‌ها منجر شوند.

این مشکلات پس از افشای مسئولانه، در نسخه‌های 4.1.1 و 4.0.12 که ماه گذشته منتشر شده‌اند رفع شده است. آمازون وب‌سرویس نیز که در این روند مشارکت داشته، به کاربران خود توصیه کرده است برای برخورداری از امنیت بیشتر، به‌روزرسانی را در اسرع وقت انجام دهند. با توجه به استفاده گسترده از Fluent Bit در محیط‌های سازمانی، این ضعف‌ها می‌توانند دسترسی به سرویس‌های ابری را دچار اختلال کنند، امکان تغییر داده‌ها را فراهم سازند و حتی کنترل سرویس لاگ‌برداری را در اختیار مهاجم قرار دهند.

در کنار نصب نسخه‌های اصلاح‌شده، توصیه شده است از برچسب‌های پویا برای مسیردهی استفاده نشود، مسیرها و مقصدهای خروجی محدود و قفل شوند تا امکان سوءاستفاده از برچسب‌ها کاهش یابد، فایل‌های پیکربندی به‌صورت فقط‌خواندنی قرار گیرند و سرویس با کاربر غیرریشه اجرا شود. این تحولات در شرایطی اعلام می‌شود که سال گذشته نیز آسیب‌پذیری دیگری در سرور داخلی HTTP در Fluent Bit با عنوان Linguistic Lumberjack شناسایی شده بود که امکان ایجاد اختلال در سرویس، افشای اطلاعات یا اجرای کد را فراهم می‌کرد.