В инструменте телеметрии Fluent Bit найдена уязвимость, грозящая крахом службы, сливом закрытых данных и даже RCE. Исправления уже готовы, затронутые облачные провайдеры (Google, Amazon, Microsoft) поставлены в известность.
Мультиплатформенная утилита Fluent Bit с открытым исходным кодом, предназначенная для сбора и обработки логов и метрик из различных источников, очень популярна. По состоянию на март, ее суммарно скачали более 13 млрд раз; такой агент активно используют облачные сервисы AWS, GCP и Azure, а также многие ИТ- и ИБ-компании: Cisco, VMware, Intel, Adobe, Dell, Crowdstrike, Trend Micro.
Критическая уязвимость CVE-2024-4323 (9,8 балла CVSS, по оценке авторов находки) была привнесена в Fluent Bit с выпуском сборки 2.0.7. Она связана с ошибкой переполнения буфера, которая может возникнуть при парсинге встроенным сервером HTTP запросов на трассировку.
Причиной появления проблемы, как выяснили эксперты Tenable, является неадекватная проверка входных переменных. Эксплойт не требует аутентификации и позволяет через вредоносный запрос к API спровоцировать отказ в обслуживании (DoS), получить доступ к конфиденциальной информации, а также удаленно выполнить сторонний код на хосте (при определенных условиях: в зависимости от ОС и архитектуры CPU).
Уведомление вендору Fluent Bit было отослано 30 апреля. Исправления кода уже внесены в основную ветку продукта, патч выйдет в составе сборки 3.0.4. Позднее сообщения о проблеме были направлены в Google, Microsoft и Amazon.
PoC-эксплойт, позволяющий вызвать DoS, уже опубликован. В отсутствие патчей для затронутых платформ пользователи могут защититься, ограничив доступ к API Fluent Bit либо отключив уязвимую конечную точку API (если она не используется).
