サービス拒否攻撃やリモートコード実行攻撃に悪用される可能性のあるFluent Bitの重大な脆弱性は、すべての主要なクラウドプロバイダーや多くのテクノロジー大手に影響を及ぼしています。
Fluent Bitは、Amazon AWS、Google GCP、Microsoft Azureのものを含む、主要なKubernetesディストリビューションに組み込まれたWindows、Linux、macOS向けの非常に人気のあるロギングとメトリクスのソリューションです。
2024年3月まで、Fluent Bitは130億回以上ダウンロードされ、デプロイされており、2022年10月に報告された30億ダウンロードから大幅に増加している。
またFluent Bitは、CrowdstrikeやTrend Microのようなサイバーセキュリティ企業や、Cisco、VMware、Intel、Adobe、Dellのような多くのハイテク企業でも使用されている。
CVE-2024-4323として追跡され、発見したTenableのセキュリティ研究者によってLinguistic Lumberjackと名付けられたこの重大なメモリ破壊の脆弱性は、バージョン2.0.7で導入され、Fluent Bitの組み込みHTTPサーバーのトレースリクエストの解析におけるヒープバッファオーバーフローの弱点が原因です。
未認証の攻撃者は、このセキュリティ欠陥を容易に悪用して、サービス拒否を引き起こしたり、リモートで機密情報を取得したりすることができますが、適切な条件と信頼できる悪用を作成する十分な時間があれば、リモートでコードを実行するために使用することもできます。
「このようなヒープバッファオーバーフローは悪用可能であることが知られているが、信頼性の高い悪用を作成することは困難であるだけでなく、非常に時間がかかる。
「研究者は、最も直接的で主要なリスクは、DoSや情報漏えいが容易に達成できることに関連するものであると考えている。
Fluent Bit 3.0.4で提供されるパッチ
Tenable社は、4月30日にこのセキュリティバグをベンダーに報告し、Fluent Bit 3.0.4(Linuxパッケージはこちら)で公式パッチを出荷した。
Tenable社はまた、5月15日にMicrosoft社、Amazon社、Google社にも、脆弱性開示プラットフォームを通じてこの重大なセキュリティバグを通知しました。
このロギング・ユーティリティを自社のインフラに導入している顧客は、Fluent BitのモニタリングAPIへのアクセスを許可されたユーザーとサービスに制限することで、この問題を軽減することもできます。
また、潜在的な攻撃を防ぎ、攻撃表面を取り除くために、脆弱なAPIエンドポイントを使用していない場合は無効にすることもできます。
更新:パッチを適用したリリースへのリンクを追加しました。
Comments