Una vulnerabilità critica di Fluent Bit può essere sfruttata negli attacchi Denial of Service ed esecuzione di codice in modalità remota. Questa colpisce tutti i principali fornitori di servizi cloud e molti giganti high-tech. Fluent Bit è una soluzione di registrazione e metrica estremamente popolare per Windows, Linux e macOS incorporata nelle principali distribuzioni Kubernetes, comprese quelle di Amazon AWS, Google GCP e Microsoft Azure. Fino a marzo 2024, Fluent Bit è stato scaricato e distribuito oltre 13 miliardi di volte. Si tratta di un aumento enorme rispetto ai tre miliardi di download registrati nell'ottobre 2022. Fluent Bit viene utilizzato anche da aziende di sicurezza informatica, come Crowdstrike e Trend Micro, e aziende tecnologiche, come Cisco, VMware, Intel, Adobe e Dell. Tale vulnerabilità è stata tracciata come CVE-2024-4323 e soprannominata Linguistic Lumberjack dai ricercatori di sicurezza di Tenable che l'hanno scoperta.
Il bug critico di danneggiamento della memoria è stato introdotto con la versione 2.0.7 ed è causato da una debolezza di overflow del buffer di heap nell'analisi delle richieste di traccia da parte del server HTTP incorporato di Fluent Bit. Fortunatamente, gli aggressori non autenticati possono facilmente sfruttare la falla di sicurezza per attivare un rifiuto di servizio o per acquisire informazioni sensibili in remoto. Questi potrebbero anche usarla per ottenere l’esecuzione di codice in remoto se vengono fornite le giuste condizioni e tempo sufficiente per creare un exploit affidabile. Come affermato da Tenable: “Mentre gli heap buffer overflow come questo sono noti per essere sfruttabili, creare un exploit affidabile non è solo difficile, ma richiede incredibilmente tempo”. Secondo i ricercatori, i rischi più immediati e primari siano quelli relativi alla facilità con cui è possibile realizzare DoS e fughe di informazioni.
Fluent Bit: la patch ufficiale distribuita con la versione 3.0.4
Tenable ha segnalato il bug di sicurezza al fornitore il 30 aprile. Le correzioni sono invece state inviate al ramo principale di Fluent Bit il 15 maggio. Si prevede che le versioni ufficiali contenenti questa patch vengano fornite con Fluent Bit 3.0.4 (i pacchetti Linux sono disponibili qui). Tenable ha inoltre informato Microsoft, Amazon e Google di questo grave bug di sicurezza il 15 maggio attraverso le loro piattaforme di divulgazione delle vulnerabilità. Fino a quando non saranno disponibili soluzioni per tutte le piattaforme interessate, i clienti che hanno distribuito questa utilità di registrazione sulla propria infrastruttura possono mitigare il problema limitando l'accesso all'API di monitoraggio di Fluent Bit agli utenti e ai servizi autorizzati. È possibile disabilitare questo endpoint API vulnerabile se non viene utilizzato. Ciò serve a garantire che eventuali attacchi potenziali vengano bloccati e che la superficie di attacco venga rimossa.