- Fluent Bitの脆弱性により、攻撃者がログを操作しリモートコードを実行可能
- CVE-2025-12972は、システム侵害の可能性としてディスク上のファイルを上書きすることを許可
- CVE-2025-12970は、スタックバッファオーバーフローを悪用してリモートコード実行を引き起こす
広く利用されているオープンソースのログ処理ツールに重大な欠陥が含まれており、攻撃者がクラウドインフラを侵害する可能性があると専門家が警告しています。
Oligoの調査によると、Fluent Bitの脆弱性はログの操作、認証の回避、AWS、Google Cloud、Microsoft Azureを含む主要クラウドプロバイダーのシステム上でリモートコードを実行できることが判明しています。
Fluent Bitは数十億のコンテナで導入されており、銀行、AI、製造業など幅広い業界で広く利用されているため、攻撃者にとって魅力的な標的となっています。
具体的な脆弱性とリスク
これらの脆弱性が悪用されると、クラウドストレージサービスの障害、データの改ざん、クラウドへの安定したアクセスに依存する企業活動への脅威が生じる可能性があります。
Oligo Securityの研究チームは5件の脆弱性を特定し、プロジェクトのメンテナーと協力してバグの詳細を公開しました。
公開された脆弱性には、未サニタイズのタグ値によるパストラバーサル、スタックバッファオーバーフロー、タグマッチングの回避、認証の失敗などが含まれます。
CVE-2025-12972は攻撃者が任意のファイルをディスク上で上書きでき、CVE-2025-12970はコンテナ名を利用してリモートコード実行を引き起こすことができます。
CVE-2025-12978およびCVE-2025-12977は、ログの再ルーティング、誤解を招くエントリの挿入、監視記録の改ざんを可能にします。
CVE-2025-12969は一部のフォワーダーで認証を無効化し、攻撃者が偽のテレメトリを注入したり、検知システムを大量のデータで溢れさせたりすることを許します。
「コード履歴から見ると、CVE-2025-12977の原因となるタグ処理の欠陥は少なくとも4年前から存在し、Docker入力バッファオーバーフロー(CVE-2025-12970)は約6年前に遡ります」とOligo Securityの研究者Uri Katz氏は述べています。
これらの脆弱性は、クラウドホスティング環境におけるマルウェア除去の妨げとなり、不正行為の痕跡を攻撃者が隠すことを可能にする恐れがあります。
AWSはこれらの脆弱性を認識し、内部システムを保護するためにFluent Bitバージョン4.1.1をリリースしました。
顧客には、ワークロードを最新バージョンにアップグレードし、Amazon Inspector、Security Hub、Systems Managerを活用して異常を検知することが推奨されています。
企業はログ設定を確認し、継続的な監視を維持すべきです。
ファイアウォール保護やアンチウイルス対策も、これらのアップデートと併せて導入し、リスクの低減を図ることが推奨されます。
とはいえ、Fluent Bitが広く導入されているため、パッチ適用後も一部のリスクが残る可能性があり、これらの脆弱性は比較的容易に悪用できます。
「ここには複数の脆弱性があり、それぞれ難易度が異なります」とKatz氏は指摘します。「Fluent Bitの基本的な動作を理解していれば引き起こせるものもあれば、メモリ破損に関するより深い知識が必要なものもあります。全体として、これらを悪用するための技術的ハードルは比較的低いと言えるでしょう。」
