Fluent Bit’te Keşfedilen Güvenlik Açıkları
Cybersecurity araştırmacıları, Fluent Bit adlı açık kaynaklı ve hafif telemetri ajanında, bulut altyapılarının güvenliğini tehdit eden beş önemli güvenlik açığı keşfettiler. Bu açıklar, kimlik doğrulama aşma, yol traversi, uzaktan kod çalıştırma, hizmet kesintisi yaratma ve etiket manipülasyonu gibi saldırılara olanak tanımaktadır.
Vulnerabilitelerin Detayları
Oligo Security tarafından yayınlanan bir rapora göre, bu güvenlik açıkları, kötü niyetli aktörlerin bulut hizmetlerini bozmalarına, verileri manipüle etmelerine ve Kubernetes altyapısında derinleşmelerine yol açabilir. İşte tespit edilen açıların listesi:
- CVE-2025-12972 – Etiket değerlerinin kullanılmasıyla meydana gelen bir yol traversi açığı. Bu, disk üzerindeki dosyaların yazılmasını veya üzerine yazılmasını sağlar, bu da günlükleri değiştirme ve uzaktan kod çalıştırma imkanı sunar.
- CVE-2025-12970 – Docker Metrics giriş eklentisindeki yığın tampon taşması açığı. Saldırganların aşırı uzun adlara sahip konteynerler oluşturarak kod çalıştırmasını veya ajanı çökertmesini sağlar.
- CVE-2025-12978 – Güvenilir etiketlerin sahtecilik edilmesine olanak tanıyan bir açık. Bu, saldırganların etkili günlükleri yeniden yönlendirmesine, filtreleri aşmasına ve yanıltıcı kayıtlar eklemesine imkan tanır.
- CVE-2025-12977 – Kullanıcı kontrolündeki alanlardan kaynaklanan etiketlerin yanlış girdi doğrulaması. Saldırganlar, yeni satırlar, travers dizileri ve kontrol karakterleri ekleyebilir.
- CVE-2025-12969 – in_forward eklentisinde kimlik doğrulamasının eksikliği. Bu, saldırganların sahte telemetri göndermesine ve güvenlik ürünlerinin günlüklerini sahte olaylarla doldurmasına olanak tanır.
Bu Açıların Tehditleri
Bu açıkların başarılı bir şekilde istismar edilmesi, saldırganların bulut ortamına daha derinlemesine sızmasına ve kötü niyetli kod yürütmesine olanak tanır. Ayrıca, günlüklerin hangi olayları kaydedeceğini dikte etme yetenekleri vardır. Bu, saldırganların saldırıdan sonra izlerini gizlemek amacıyla suçlayıcı kayıtları silmesine veya yeniden yazmasına, sahte telemetri eklemesine ve yanıltıcı olaylar yaratmasına yol açabilir.
CERT/CC, bu açıkların çoğunun bir saldırganın Fluent Bit örneğine ağ erişimine sahip olmasını gerektirdiği konusunda uyarıda bulundu. Kimlik doğrulama aşma, uzaktan kod yürütme, hizmet kesintisi ve etiket manipülasyonu gibi saldırılara sebep olabileceği belirtildi.
Güvenlik Açıklarının Giderilmesi
Güvenlik açıklarının sorumlu bir şekilde bildirilmesinin ardından, bu sorunlar 4.1.1 ve 4.0.12 sürümlerinde giderilmiştir. Amazon Web Services (AWS) de bu konuda kullanıcılarını en son sürüme güncellemeye çağırdı.
Fluent Bit’in popülerliği dikkate alındığında, bu açıklar bulut hizmetlerine erişimi engelleyebilir, veri manipülasyonuna yol açabilir ve günlük hizmetinin kontrolünü ele geçirebilir.
Önerilen Güvenlik Önlemleri
Bazı önerilen önlemler arasında dinamik etiketlerin rotada kullanılmamasını sağlamak, etiket tabanlı yol genişlemesini veya traversini önlemek için çıktıları ve varış noktalarını kilitlemek, /fluent-bit/etc/ ve yapılandırma dosyalarını yalnızca okunur olarak monte etmek ve hizmeti kök kullanıcıları dışında çalıştırmak yer almaktadır.
Bu gelişmeler, Tenable tarafından bir yıl önce detaylandırılan Fluent Bit’in yerleşik HTTP sunucusundaki bir açığın (CVE-2024-4323) ardından gelmektedir. Bu açığın, hizmet kesintisi, bilgi sızdırma veya uzaktan kod çalıştırmak için kullanılabileceği belirtilmiştir.
