人気のオープンソースツールFluent Bitに存在する5つの脆弱性により、攻撃者がクラウドサービスを乗っ取る可能性があるとOligo Securityが警告しています。
この軽量かつ高いスケーラビリティを持つデータエージェントは、ログ、メトリクス、トレースの収集・処理・転送をサポートしています。クラウド環境やコンテナオーケストレーションプラットフォームにおけるオブザーバビリティパイプラインの標準として広く利用されています。
Fluent Bitは、さまざまなソースからデータを収集する入力プラグインと、指定された宛先にデータを送信する出力プラグインを中心に構築されています。識別のため、各レコードにはタグが付与され、ルーティングラベルとしても機能します。
CVE-2025-12972として追跡されている最初の新たに公開されたバグは、ファイル名の生成に使用されるタグ値のサニタイズが不十分であることに起因し、攻撃者がパストラバーサルシーケンスを注入できるようにします。
これにより、攻撃者は任意のファイルをディスク上で上書きでき、ログの改ざんやリモートコード実行(RCE)につながる可能性がありますとOligoは説明しています。file出力で定義済みの「File」キーが欠落している構成が影響を受けます。
2つ目の問題であるCVE-2025-12970は、Docker入力におけるスタックベースのバッファオーバーフローであり、攻撃者が割り当てられた固定256バイトのバッファを超える非常に長い名前のコンテナを作成することで、クラッシュやコード実行を引き起こすことができます。Docker入力を使用している構成のみが影響を受けます。
3つ目の脆弱性はCVE-2025-12978として追跡されており、攻撃者がHTTP、Elasticsearch、Splunk入力においてタグキーの最初の文字を推測することで信頼されたタグを偽装できるものです。これにより、ログの再ルーティング、フィルタのバイパス、悪意あるまたは改ざんされたレコードの注入が発生する可能性があります。
4つ目のバグであるCVE-2025-12977は、ユーザーが制御するフィールドから派生したタグがサニタイズを回避することにより、攻撃者がログの破損やより広範な出力ベースの攻撃につながる文字やシーケンスを注入できるものです。HTTP、Elasticsearch、Splunkの構成が影響を受けます。
CVE-2025-12969として追跡されている5つ目の欠陥は、Security.Usersで構成されている場合、Fluent Bitフォワーダーが認証をサイレントに無効化してしまうことに起因します。リモートの攻撃者はこの問題を悪用して偽のテレメトリを注入したり、ログを送信したり、検知システムを大量のデータで圧倒することができます。
Fluent BitはAWS、Google Cloud、Microsoft Azure、AI研究所、金融サービスなど幅広く利用されているため、新たに特定されたこれらのセキュリティ欠陥はクラウドエコシステムに重大なリスクをもたらすとOligoは述べています。攻撃者が障害を引き起こしたり、インフラストラクチャへの深いアクセスを得たりする可能性があります。
「実際には、これらの脆弱性を悪用した攻撃者は、クラウドサービスの妨害やデータの改ざんだけでなく、ロギングサービス自体を乗っ取ることも可能になる」とセキュリティ企業は指摘し、CVE-2025-12972は8年前に導入されたものであると警告しています。
これらのセキュリティ欠陥は、Fluent Bitのバージョン4.1.1および4.0.12より前のバージョンに影響します。最も安定したリリースにアップデートすることで、すべての脆弱性が解消されます。
Oligoはまた、AWSにバグを報告したところ、AWSは直ちに対応し、Fluent Bitのバージョン4.1.1へ移行したと述べています。
翻訳元: https://www.securityweek.com/fluent-bit-vulnerabilities-expose-cloud-services-to-takeover/
