TokyoBlackHatNews

csoonline.com 4分で読了

Fluent Bitの脆弱性によりクラウド全体の乗っ取りが可能に

Fluent Bitの欠陥により、攻撃者が偽のログを注入したり、テレメトリをリルートしたり、クラウドプラットフォーム全体で任意のコードを実行できる可能性があります。

Fluent Bitは、コンテナやKubernetes DaemonSet、大手クラウドプラットフォームで広く利用されているログ処理ツールですが、認証バイパス、ファイル書き込み、エージェント乗っ取り攻撃に対して脆弱であることが判明しました。

Oligo Securityの分析によると、Amazon Web Services(AWS)と協力して公開された情報で、このツールにはクラウドインフラ全体の完全な侵害を許す可能性のある5つの重大な脆弱性があることが判明しました。

「Fluent Bitはあらゆる場所で稼働しています。AIラボ、銀行、自動車メーカー、AWSやGoogle Cloud、Microsoft Azureなどの主要なクラウドプロバイダーなどです」とOligo Security CTOオフィスの研究者Uri Katz氏はブログ投稿で述べています。「これほど広く信頼されているコンポーネントが失敗すると、個々のシステムだけでなく、クラウドエコシステム全体の安定性が脅かされます。」

Katz氏は、これらの脆弱性により、攻撃者がログを書き換えたり削除したりして痕跡を隠したり、偽のテレメトリを注入したり、記録を攻撃者が制御する宛先にリルートしたり、さらには任意のコードを実行することも可能になると述べています。

これらに対応するため、Fluent Bitプロジェクトは修正版のv4.1.1およびv4.0.12をリリースしました。

認証をバイパスして偽のログを注入

公開情報で明らかになった最も懸念される問題は、Fluent Bitのforward inputプラグイン「in_forward」です。これは保護されているように見せかけて実際には無防備に設定できてしまいます。特に「Security.Users」認証が指定されていても「Shared.key」が設定されていない場合、認証が事実上適用されず、攻撃者が任意のログを送信できる脆弱なポートが残されます。

攻撃者は偽または誤解を招くイベントで監視システムを氾濫させたり、ノイズの中にアラートを隠したり、テレメトリストリーム自体を乗っ取ることさえできるとKatz氏は述べています。この問題は現在、CVE-2025-12969として追跡されており、深刻度評価を待っています。

ほぼ同様に深刻なのが、「tag」メカニズムに関する他の脆弱性です。これは記録のルーティングや処理方法を決定します。1つのバグ(CVE-2025-12978)は、攻撃者がタグキーの最初の1文字を推測できれば、信頼されたタグを偽装してログをリルートしたり、フィルターをバイパスしたりできるものです。別のバグ(CVE-2025-12977)は、改ざんされていないタグ値(改行、ディレクトリトラバーサル文字列、制御文字などを含む)が許可されており、下流のパースを破壊したり、ファイルシステムへの書き込みを可能にしたり、さらなるエスカレーションを許す可能性があります。

ブログによると、AWSはFluentbitプロジェクトを通じてFluentbitに依存するすべての内部システムを保護し、Fluentbitバージョン4.1.1をリリースしました。AWSはCSOのコメント要請にはすぐに応じませんでした。

ファイル書き込み、コンテナオーバーフロー、エージェント完全乗っ取り

Oligoはまた、このツールに影響を与えるリモートコード実行(RCE)およびパストラバーサルの脆弱性の連鎖も公開しました。CVE-2025-12972は「out_file」出力プラグインを標的としています。タグ値がユーザー制御下にあり、固定のFileパラメータが設定されていない場合、攻撃者はタグ値(例:「../」)を悪用してパストラバーサルによるファイル書き込みや上書きを引き起こし、最終的に悪意あるファイルを設置したりRCEを獲得したりできます。

「我々の調査では、CVE 2025-12972のような一部の脆弱性が8年以上にわたりクラウド環境を脆弱なままにしていたことが判明しました」とKatz氏は指摘しています。

Docker inputプラグイン(in-Docker)では、CVE-2025-12970がスタックバッファオーバーフローを示しています。攻撃者が極端に長い名前のコンテナを作成すると、バッファオーバーフローによりエージェントをクラッシュさせたり、コードを実行したりできます。Oligoは、この脆弱性により攻撃者がロギングエージェントを乗っ取り、活動を隠蔽し、バックドアを設置し、さらにシステム内で横展開できると警告しています。

Fluent BitはCloud Native Computing Foundation(CNCF)の卒業済みオープンソースプロジェクトで、もともとEduardo Silva氏によって作成され、現在も主要なクラウドプロバイダーによってスポンサー・保守されています。

翻訳元: https://www.csoonline.com/article/4095860/fluent-bit-vulnerabilities-could-enable-full-cloud-takeover.html

ソース: csoonline.com
#5G脆弱性 #API認証バイパス #Apple Lawsuit #CSPM(クラウドセキュリティポスチャ管理) #CVE-2025-12969 #Fluent Bit #Kubernetes #オープンソースAI #リモートコード実行 #ログ改ざん

関連記事

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く

トランプ大統領、撤回したAI大統領令の一部をサイバーセキュリティ重視の指令として復活