Amazon, Google и Microsoft открыты для хакеров: ошибка Fluent Bit дает доступ к данным

Специалисты Tenable выявиликритическую уязвимость в Fluent Bit, которая может привести к DoS-атаке и удаленному выполнению кода. Недостаток затрагивает всех крупных облачных провайдеров, таких как Amazon AWS, Google GCP и Microsoft Azure, а также многих IT-гигантов.

Fluent Bit – популярное решение для логирования и мониторинга на Windows, Linux и macOS, встроенное в основные дистрибутивы Kubernetes. До марта 2024 года Fluent Bit был загружен и установлен более 13 миллиардов раз. Такая технология используется в кибербезопасности Crowdstrike, Trend Micro, Cisco, VMware, Intel, Adobe и Dell.

Уязвимость повреждения памяти (” data-html=”true” data-original-title=”Memory corruption” >Memory corruption) CVE-2024-4323 (оценка CVSS 3.0: 9.8) была обнаружена исследователями Tenable, которые назвали её Linguistic Lumberjack. Ошибка вызвана переполнением кучи (Heap Overflow) во встроенном HTTP-сервере Fluent Bit при обработке запросов трассировки и впервые появилась в версии 2.0.7.

Неаутентифицированный злоумышленник может легко воспользоваться уязвимостью, чтобы вызвать отказ в обслуживании (Denial of Service, DoS) или захватить конфиденциальную информацию. Однако при определенных условиях и достаточном времени хакер может достичь удаленного выполнения кода (Remote Code Execution, RCE).

В Tenable заявили, что создание надежного эксплойта уязвимости переполнения кучи не только сложно, но и требует огромного количества времени. Основные риски связаны с легкостью выполнения DoS-атак и утечек информации.

Tenable сообщила об ошибке разработчикам 30 апреля, и исправления были внесены в основную ветку Fluent Bit 15 мая. Ожидается, что официальные релизы с исправлением появятся в версии 3.0.4 (пакеты для Linux уже доступны ). Кроме того, Tenable 15 мая уведомила Microsoft, Amazon и Google о критической уязвимости через их платформы раскрытия уязвимостей.

До тех пор, пока исправления не станут доступны для всех затронутых платформ, пользователи, развернувшие Fluent Bit в своей инфраструктуре, могут смягчить проблему, ограничив доступ к API мониторинга Fluent Bit только до авторизованных пользователей и служб. Также можно отключить уязвимый API, если он не используется, чтобы блокировать потенциальные атаки и сократить поверхность атаки.

Public Release.