サイバーニュース.jp

世界のサイバーなニュースを配信

Fluent Bitに複数の重大な脆弱性が発覚、クラウド環境へのリモート攻撃の危険性

カテゴリ:

概要:クラウドの根幹を揺るがすFluent Bitの脆弱性

クラウド環境のログ処理において不可欠なオープンソースツール「Fluent Bit」に、新たに5つの重大な脆弱性が発見されました。これにより、攻撃者が認証を回避し、パス・トラバーサルを実行し、タグをハイジャックし、さらにはリモートでコードを実行する可能性があり、クラウドインフラストラクチャの基盤が脅かされる事態となっています。

Oligo Securityの研究チームが発見したこれらの脆弱性は、150億以上のコンテナに組み込まれ、AWS、Google Cloud、Microsoft Azureといった大手クラウドプロバイダーのバックボーンを支えるFluent Bitの広範な利用状況を考慮すると、その影響は計り知れません。先週だけでも400万回以上プルされた実績があり、AI研究、金融プラットフォーム、自動車製造など、多岐にわたる分野で利用されているため、そのコアの脆弱性は、単一のシステムだけでなく、クラウドエコシステム全体の安定性を脅かします。

詳細:発見された主要な脆弱性

Oligo Securityチームは、以下の5つのCVEを特定しました。

  • CVE-2025-12972 (パス・トラバーサル/ファイル上書き):攻撃者が無害化されていないタグにパス・トラバーサル文字列(例:「../」)を挿入することで、ディスク上の任意のファイルを書き換えたり上書きしたりできる可能性があります。これにより、ログの改ざんだけでなく、脆弱なデプロイメント上でリモートコード実行につながる可能性があります。
  • CVE-2025-12970 (スタックバッファオーバーフロー):Docker入力プラグインの欠陥により、長い名前を持つコンテナを作成できる攻撃者は、スタックバッファをオーバーフローさせ、ホストマシン上のFluent Bitをクラッシュさせたり、完全に侵害したりする可能性があります。
  • CVE-2025-12978 (タグマッチングなりすまし):誤ったロジックのため、攻撃者はタグキーの最初の文字を推測するだけで、信頼されたタグをなりすまし、ログを誤った経路に誘導したり、悪意のあるレコードを注入したり、フィルタリングや監視を回避したりできます。
  • CVE-2025-12977 (タグインジェクション):ユーザーが制御するタグコンテンツがサニタイズを迂回するため、攻撃者はトラバーサルシーケンスや制御文字などの危険な文字を挿入し、下流のログを破損させたり、新たな攻撃ベクトルを可能にしたりする可能性があります。
  • CVE-2025-12969 (認証バイパス):認証にSecurity.Usersのみを使用しているFluent Bitフォワーダーは、認証を完全に無効にしてしまうため、保護されているはずのエンドポイントが、ログを送信したり偽のテレメトリーを注入したりする攻撃者に対して開かれた状態になります。

特にCVE-2025-12972のような一部の脆弱性は、8年以上にわたりクラウド環境に潜伏していたとされており、タイムリーかつ正確なログデータに依存する組織にとって、そのリスクをさらに高めています。

想定される悪用シナリオと影響

これらの脆弱性を悪用することで、攻撃者は以下のような深刻な結果を引き起こす可能性があります。

  • クラウドサービスの停止
  • ログエントリーの改ざんや消去、不正行為の隠蔽
  • 偽のテレメトリーの注入、監視システムの欺瞞
  • ロギングインフラストラクチャの完全な乗っ取り

Fluent Bitはタグに大きく依存しており、すべてのレコードにタグが付与され、どのフィルターや出力がそれを見るかを決定します。このタグ操作とパス・トラバーサルを組み合わせることで、攻撃者はログを書き換え、侵害の痕跡を隠蔽し、悪意のあるコードを実行することでバックドアを仕掛けることも可能です。

具体的な影響範囲は広く、銀行やフィンテック企業では取引ログやログインログが改ざん・流出する可能性があり、クラウドやSaaSプロバイダーはオブザーバビリティパイプラインを混乱させられたり、コンプライアンスデータを偽装されたりするリスクがあります。また、セキュリティ製品においても、テレメトリーの破損により、アナリストが真の脅威を見落としたり、ダッシュボードがノイズで溢れたりする可能性があります。

緊急の緩和策

組織は直ちに以下の措置を講じる必要があります。

  • Fluent Bit v4.1.1または4.0.12へのアップグレード:タグサニタイズと認証ロジックの修正が含まれています。
  • 動的なタグルーティングの回避:可能な限り静的で事前に定義されたタグを使用してください。
  • 出力ファイルパスの制限:パス・トラバーサルを防ぐために、出力設定で明示的な「Path」または「File」オプションを設定してください。
  • 読み取り専用の設定マウントを強制し、最小特権の原則に従う:Fluent Bitを非ルートユーザーとして実行し、ファイルシステムへのアクセスを制限してください。

セキュリティチームは、デプロイメントにおける信頼できない入力元を監査し、タグ処理の構成を見直し、悪用された兆候がないか監視する必要があります。

オープンソースコミュニティへの示唆

今回の発見は、オープンソースの脆弱性対応における課題を浮き彫りにしました。公式チャネルを通じて開示されたにもかかわらず、迅速な修正を調整するためには主要なクラウドプロバイダーの関与が必要でした。この一件は、クラウドベンダー、セキュリティ研究者、およびメンテナー間のより強力な協力の必要性を強調し、重要なソフトウェアサプライチェーンを保護するための継続的な努力が不可欠であることを示唆しています。

元記事: https://gbhackers.com/fluent-bit-vulnerabilities/

投稿をさらに読み込む