Fluent Bit 0-day漏洞使数十亿生产环境面临网络攻击威胁

安全
Fluent Bit 拥有超过 150 亿次下载和每日 1000 万次部署,这些漏洞对全球企业和云生态系统构成严重威胁。

研究人员发现了 Fluent Bit 中的关键 0-day 漏洞,这款日志收集工具广泛应用于 AWS、Google Cloud 和 Microsoft Azure 等主要云服务提供商的云基础设施中。这两个漏洞被追踪为 CVE-2024-50608 和 CVE-2024-50609(CVSS 评分 8.9),利用了 Fluent Bit 的 Prometheus Remote Write 和 OpenTelemetry 插件中的空指针解引用弱点。

Fluent Bit 拥有超过 150 亿次下载和每日 1000 万次部署,这些漏洞对全球企业和云生态系统构成严重威胁。

漏洞利用机制与攻击面

Prometheus Remote Write 漏洞允许未经身份验证的攻击者通过发送 Content-Length: 0 的 HTTP POST 请求,导致 Fluent Bit 服务器崩溃。这种情况在解析指标数据时触发了process_payload_metrics_ng()函数中的空指针解引用。以下是一个简单的利用示例:

类似地,OpenTelemetry 插件在跟踪配置请求中未能验证输入类型。向/api/v1/traces端点发送非字符串值(例如整数)会导致堆内存损坏,从而引发拒绝服务(DoS)或部分敏感信息泄露。Tenable 的实验室测试证实了相邻内存暴露,偶尔会泄露敏感的指标数据。

Fluent Bit 的架构通过涵盖输入解析、过滤和输出路由进一步放大了风险。例如,配置不当的 HTTP 输入插件会将 API 暴露给恶意负载:

影响:云基础设施与企业面临的风险

Fluent Bit 已集成到 Kubernetes 和云监控堆栈中,这意味着这些漏洞会波及多个服务。Cisco、Splunk 和 VMware 是其重要用户,而 AWS Elastic Kubernetes Service (EKS) 等超大规模企业默认将其嵌入。攻击者利用这些漏洞可能会破坏日志管道,导致事件响应和合规工作流程瘫痪。

Ebryx 使用 Boofuzz 进行的模糊测试揭示了系统性缺陷。例如,以下脚本对 Prometheus 插件的 HTTP 处理程序进行了模糊测试:

flb_sds_create_len()函数中缺乏输入验证,使得简单的 DoS 攻击成为可能。

缓解措施与行业响应

Fluent Bit 维护者在 v3.0.4 版本中发布了补丁,并将修复内容回溯到 v2.2.3 版本。关键的缓解措施包括:

  • 立即为 Fluent Bit 实例打补丁。
  • 通过网络策略或身份验证限制 API 访问。
  • 禁用未使用的端点,例如/api/v1/traces。

企业必须审核 Fluent Bit 配置、分割监控网络,并采用持续的模糊测试策略。正如 Tenable 的披露时间表所示,行业与 AWS、Google 和 Microsoft 协作的补丁发布工作避免了漏洞的大规模利用。

然而,鉴于每日有 1000 万次部署面临风险,未打补丁的系统响应时间极其有限。

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2020-05-20 12:52:03

漏洞攻击蓝牙

2013-11-20 14:44:07

2021-03-16 10:52:56

Chrome浏览器漏洞

2021-09-06 09:51:55

BrakTooth安全漏洞蓝牙设备

2013-12-02 14:50:25

2020-09-17 11:02:40

BLESA蓝牙攻击漏洞

2024-03-06 13:27:23

2021-07-17 06:41:12

谷歌Chrome浏览器

2021-12-17 11:29:03

WiFi漏洞芯片

2020-08-11 23:28:30

漏洞浏览器网络安全

2022-03-25 13:41:55

漏洞网络攻击Quantum(量子

2023-03-06 15:20:19

2016-12-19 15:58:34

2022-04-26 06:37:18

漏洞网络安全网络攻击

2012-06-04 10:04:26

2011-02-28 09:34:55

2020-08-20 20:56:17

0-day漏洞WindowsMicrosoft

2021-09-07 05:36:59

蓝牙漏洞恶意代码

2015-08-28 13:37:39

2020-09-18 11:20:53

即时通讯应用隐私泄露网络攻击
点赞
收藏

51CTO技术栈公众号