新たに発見された5つの重大なFluent Bitの脆弱性の連鎖により、攻撃者はログの改ざん、エージェントのクラッシュ、さらにはクラウドやKubernetes環境全体でのコード実行が可能になる恐れがあります。
Fluent Bitは数十億のコンテナに組み込まれており、銀行、AIプラットフォーム、製造業、大手クラウドプロバイダーの可観測性パイプラインを支えています。
「これらの脆弱性は、攻撃者がクラウドサービスを妨害し、データを改ざんし、同じクラウドやKubernetesインフラストラクチャへのより深いアクセスを得る経路を作り出します」とOligo Securityの研究者は述べています。
Fluent BitのCVEの詳細
新たに公開されたFluent Bitの脆弱性は、その取り込みおよび処理パイプライン全体に重大な弱点を露呈し、攻撃者にログの操作やコード実行の複数の経路を与えています。
CVE-2025-12972
CVE-2025-12972は、Fluent Bitにおけるパストラバーサルの脆弱性で、サニタイズされていないタグ値が出力ファイル名の生成に使用されることに起因します。
Fileパラメータが設定されていない場合、Fluent Bitは受信タグからファイル名を導出するため、攻撃者は../シーケンスを埋め込んで任意のファイルシステムの場所にログを書き込むことができます。
ログ内容の一部を制御できる場合、攻撃者はシステムファイルの上書き、悪意のあるコードの設置、ログの改ざん、さらにはFluent Bitが高い権限で動作している環境ではリモートコード実行も可能となります。
CVE-2025-12970
CVE-2025-12970は、Fluent BitのDocker Metrics入力プラグインにおけるスタックバッファオーバーフローで、コンテナ名を長さを確認せずに256バイトの固定バッファにコピーすることが原因です。
攻撃者がDocker APIや改ざんされた設定ファイルを通じてコンテナ名を作成または影響できる場合、256文字を超える名前を指定してオーバーフローを引き起こすことができます。
これにより、メモリ破損が発生し、Fluent Bitエージェントのクラッシュやリモートコード実行が可能となります。
このプラグインはしばしばDockerソケットへのアクセス権限で動作するため、悪用に成功すると攻撃者はロギングエージェントの制御や機密ログ、ノードレベルの権限にアクセスできる可能性があります。
CVE-2025-12978
CVE-2025-12978は、Fluent Bitがtag_keyフィールドの長さのみを比較し、完全な名前を比較しないことに起因し、期待されるキーの最初の1文字だけを含むペイロードでも一致と見なされてしまいます。
これにより、攻撃者は実際のtag_keyを知らなくても信頼されたタグを偽装し、他のサービスやテナント向けのフィルタや出力経路を通じてログを送信できます。
タグ値を制御することで、攻撃者はフィルタを回避し、誤解を招くデータを注入し、下流の監視を妨害できます。HTTP、Elasticsearch、Splunk入力でtag_keyを使用しているすべての導入が影響を受けます。
CVE-2025-12977
CVE-2025-12977は、Fluent Bitがtag_keyオプション使用時にユーザー制御フィールドから派生したタグをサニタイズしないことに起因します。
これらの動的タグには改行や制御シーケンス、../などの文字を含めることができ、多くの出力プラグインがこれらをファイル名やログエントリ、ルーティングロジックに直接埋め込みます。
その結果、攻撃者はログの破損、偽造エントリの挿入、パースの破壊、設定によってはパストラバーサルを引き起こすことができます。
この脆弱性は、通常のログフィールドをインジェクションや下流操作のベクターに変えて攻撃面を拡大します。
CVE-2025-12969
CVE-2025-12969は、security.usersがshared_keyなしで設定されている場合、Fluent Bitのin_forward入力で認証バイパスがサイレントに発生する脆弱性です。
この設定では、Fluent Bitが認証を強制せず、オペレーターがユーザー認証が有効だと信じていても攻撃者は資格情報なしでログを送信できます。
これにより、偽のテレメトリ注入、ログ改ざん、アラートの氾濫、悪意ある活動の隠蔽が可能になります。特にフォワーダーがネットワークアクセスに晒されるマルチテナントやクラウド環境では危険です。
この脆弱性の連鎖は、運用データの収集やルーティングを担うツールのセキュリティ確保の重要性を浮き彫りにしています。
Fluent BitのCVEへの対策戦略
Fluent Bitの脆弱性に対処するには、ログパイプラインの強化に向けた多層的かつ積極的なアプローチが必要です。
これらの脆弱性はルーティング、認証、ファイル操作に影響するため、組織はパッチ適用とともに環境管理の強化を組み合わせてリスクを低減しなければなりません。
- Fluent Bitをバージョン4.1.1または4.0.12にアップグレードし、タグのサニタイズ、認証強制、安全な入力処理の修正を適用してください。
- Fluent Bitの入力へのネットワークアクセスを制限・分割し、in_forwardやHTTP、その他公開プラグインに到達できるサービスを限定してください。
- 静的タグを使用し、すべての受信ログデータを検証して、信頼できない入力がルーティングやファイル名、下流処理に影響を与えないようにしてください。
- 出力パスやファイルシステムをロックダウンし、固定ファイル名の設定、設定ディレクトリの読み取り専用マウント、SELinux/AppArmorポリシーの適用を行ってください。
- Fluent Bitを強化された環境で実行し、最小権限、コンテナ分離、ログ転送のmTLS、安全な認証情報管理を利用してください。
- ログトラフィックのレート制限と監視を行い、異常なタグパターン、予期しないファイル書き込み、エージェントのクラッシュ、受信ログの急増を検知してください。
- 下流のSIEMやストレージシステムでスキーマ検証、整合性チェック、冗長ログ経路などの保護策を適用し、ログ改ざんの防止・検知を行ってください。
Fluent Bitのセキュリティ確保は不可欠です。なぜなら、テレメトリが侵害されると、下流の検知や対応プロセスすべてが損なわれるからです。
ロギングおよびテレメトリシステムへの高まる脅威
これらの脆弱性は、脅威の状況が大きく変化していることを浮き彫りにしています。長らく低リスクかつ裏方の存在と見なされてきた可観測性インフラが、攻撃者にとって高価値なターゲットとなっています。
組織が検知や対応のためにログ、メトリクス、トレースにますます依存する中、テレメトリパイプラインの侵害はアプリケーションやデータベースの侵害と同等の損害をもたらす可能性があります。
Fluent Bitは信頼できない入力と機密性の高い運用データの交差点に位置しているため、そのルーティングやファイル操作ロジックの弱点は特に危険です。
このレイヤーのたった1つの欠陥が可視性を歪め、フォレンジックの整合性を損ない、セキュリティチームがテレメトリに最も依存している瞬間に盲目にしてしまいます。
この可視性の低下は、現代の防御がデフォルトで侵害を想定すべき理由を強調しています。これはゼロトラストセキュリティの中核となる原則です。
翻訳元: https://www.esecurityplanet.com/threats/news-cloud-fluent-bit-cve/
