Các nhà nghiên cứu an ninh mạng đã phát hiện 5 lỗ hổng trong Fluent Bit, một tác nhân thu thập dữ liệu từ xa mã nguồn mở và nhẹ, có thể bị xâu chuỗi để xâm nhập và chiếm quyền kiểm soát cơ sở hạ tầng cloud.
Các lỗi bảo mật này "cho phép kẻ tấn công vượt qua authentication, thực hiện path traversal, đạt được remote code execution, gây ra tình trạng denial-of-service và thao túng các tags," Oligo Security cho biết trong một báo cáo chia sẻ với The Hacker News.
Việc khai thác thành công các lỗ hổng này có thể cho phép kẻ tấn công làm gián đoạn các dịch vụ cloud, thao túng dữ liệu và xâm nhập sâu hơn vào cơ sở hạ tầng cloud và Kubernetes. Danh sách các lỗ hổng được xác định như sau:
- CVE-2025-12972 - Một lỗ hổng path traversal phát sinh từ việc sử dụng các giá trị tag không được kiểm soát để tạo tên tệp đầu ra, giúp ghi hoặc ghi đè các tệp tùy ý trên đĩa, cho phép giả mạo nhật ký và remote code execution.
- CVE-2025-12970 - Lỗ hổng stack buffer overflow trong plugin đầu vào Docker Metrics (in_docker) có thể cho phép kẻ tấn công kích hoạt code execution hoặc làm sập tác nhân bằng cách tạo các container có tên quá dài.
- CVE-2025-12978 - Một lỗ hổng trong logic khớp tag cho phép kẻ tấn công giả mạo các trusted tags – được gán cho mọi sự kiện được Fluent Bit thu thập – bằng cách chỉ đoán ký tự đầu tiên của một Tag_Key, cho phép kẻ tấn công chuyển hướng nhật ký, bỏ qua các bộ lọc và chèn các bản ghi độc hại hoặc gây hiểu lầm dưới các trusted tags.
- CVE-2025-12977 - Lỗ hổng improper input validation của các tags có nguồn gốc từ các trường do người dùng kiểm soát, cho phép kẻ tấn công chèn các ký tự xuống dòng (newlines), chuỗi traversal và control characters có thể làm hỏng các nhật ký downstream.
- CVE-2025-12969 - Lỗ hổng thiếu xác thực security.users trong plugin in_forward được sử dụng để nhận nhật ký từ các phiên bản Fluent Bit khác bằng Forward protocol, cho phép kẻ tấn công gửi nhật ký, chèn false telemetry và làm ngập nhật ký sản phẩm bảo mật bằng các false events.
Các nhà nghiên cứu cho biết: "Mức độ kiểm soát mà nhóm lỗ hổng này mang lại có thể cho phép kẻ tấn công xâm nhập sâu hơn vào môi trường cloud để thực thi mã độc thông qua Fluent Bit, đồng thời ra lệnh ghi lại những sự kiện nào, xóa hoặc ghi lại các mục bằng chứng để che giấu dấu vết sau một cuộc tấn công, chèn false telemetry và chèn các fake events đáng tin cậy để đánh lừa những người phản ứng."
Trung tâm Điều phối CERT (CERT/CC), trong một cảnh báo độc lập, cho biết nhiều lỗ hổng này yêu cầu kẻ tấn công phải có quyền truy cập mạng vào một phiên bản Fluent Bit, đồng thời bổ sung rằng chúng có thể được sử dụng để authentication bypass, remote code execution, service disruption và tag manipulation.
Sau khi được tiết lộ một cách có trách nhiệm, các vấn đề đã được khắc phục trong các phiên bản 4.1.1 và 4.0.12 được phát hành vào tháng trước. Amazon Web Services (AWS), cũng tham gia vào việc tiết lộ phối hợp, đã kêu gọi khách hàng đang sử dụng Fluent Bit cập nhật lên phiên bản mới nhất để được bảo vệ tối ưu.
Với sự phổ biến của Fluent Bit trong các môi trường doanh nghiệp, những thiếu sót này có khả năng làm suy yếu quyền truy cập vào các dịch vụ cloud, cho phép giả mạo dữ liệu và chiếm quyền kiểm soát chính dịch vụ ghi nhật ký.
Các hành động được khuyến nghị khác bao gồm tránh sử dụng dynamic tags để định tuyến, khóa các output paths và đích đến để ngăn chặn mở rộng đường dẫn hoặc traversal dựa trên tag, gắn /fluent-bit/etc/ và các tệp cấu hình dưới dạng read-only để chặn giả mạo trong thời gian chạy và chạy dịch vụ với người dùng non-root.
Sự phát triển này diễn ra hơn một năm sau khi Tenable trình bày chi tiết một lỗ hổng trong máy chủ HTTP tích hợp của Fluent Bit (CVE-2024-4323 hay còn gọi là Linguistic Lumberjack) có thể bị khai thác để đạt được denial-of-service (DoS), information disclosure hoặc remote code execution.
