本文来自微信公众号“GoUpSec”。
Fluent Bit是一个极为流行的开源多平台日志处理器工具,近日曝出高危漏洞,波及全球几乎所有主流云服务商和众多科技巨头。
Fluent Bit不仅兼容Windows、Linux和macOS系统,还嵌入在各大主流Kubernetes发行版中,其中就包括亚马逊AWS、谷歌GCP和微软Azure的产品。截至2024年3月,Fluent Bit的下载部署量已超过130亿次,相比2022年10月报告的30亿次呈现爆炸式增长。
Crowdstrike、趋势科技等网络安全厂商以及思科、VMware、英特尔、Adobe和戴尔等科技公司均在其系统中部署了FluentBit。
Tenable安全研究人员发现此漏洞并将其命名为“CVE-2024-4323-语言伐木工(Linguistic Lumberjack)”,这是一个内存损坏高危漏洞,出现在Fluent Bit嵌入式HTTP服务器解析跟踪请求过程中,版本号则最早可追溯至2.0.7。
未经身份验证的攻击者可以轻松利用此漏洞发动拒绝服务攻击,或远程窃取敏感信息。在具备充分条件和时间的情况下,甚至有可能借此漏洞实现远程代码执行。Tenable表示:“这类堆栈溢出漏洞虽然已知可被利用,但要构建一个可靠的攻击程序不仅困难,而且极其耗时。研究人员认为,该漏洞最紧迫的风险在于易于发起的拒绝服务攻击和信息泄露。”
修复措施
Tenable在4月30日向Fluent Bit开发商通报了该安全漏洞,相关修复程序已于5月15日提交至Fluent Bit的主分支。包含漏洞修复的正式版本预计将随Fluent Bit 3.0.4发布(Linux软件包链接:https://github.com/fluent/fluent-bit/actions/runs/9097880110)。
Tenable也于5月15日通过漏洞披露平台通知了微软、亚马逊和谷歌。
对于已经部署Fluent Bit的用户,在官方补丁发布之前,可以通过限制对Fluent Bit监控API的访问(仅授权用户和服务)来降低风险。若非必要,也可以禁用该易受攻击的API端点,以确保潜在攻击被阻断并缩小攻击面。