Devis de remise multi-licences
Données concernant les menaces Vulnérabilité Failles de sécurité de Fluent Bit

Failles de sécurité de Fluent Bit

Par Mezo en Vulnérabilité
Se traduisent par :

Des recherches ont mis en évidence cinq failles de sécurité critiques au sein de Fluent Bit, un agent de télémétrie open source largement déployé. Combinées, ces vulnérabilités offrent aux acteurs malveillants de multiples moyens de prendre le contrôle des ressources cloud, de compromettre l'intégrité des journaux ou de perturber la disponibilité des services dans les environnements cloud et Kubernetes.

Comment les attaquants pourraient exploiter ces failles

Les failles découvertes ouvrent la voie au contournement de l'authentification, à la manipulation de fichiers, à l'exécution de code à distance, à l'interruption de service et à la falsification de balises. Exploitées, elles permettent à un intrus de corrompre les journaux, de masquer les activités malveillantes, d'injecter de fausses données de télémétrie et de s'infiltrer plus profondément dans l'infrastructure cloud.

Répartition des CVE identifiées

Les vulnérabilités suivantes illustrent l'étendue de la surface d'attaque lorsque Fluent Bit traite des entrées non fiables :

  • CVE-2025-12972 – Une vulnérabilité de type « path traversal » liée à l’utilisation de valeurs d’étiquettes non filtrées pour générer des noms de fichiers. Cette vulnérabilité expose les systèmes à des écritures arbitraires dans les fichiers, à la falsification des journaux et à l’exécution potentielle de code.
  • CVE-2025-12970 – Un dépassement de tampon de pile dans le plugin d'entrée Docker Metrics (in_docker). La création de conteneurs avec des noms trop longs peut provoquer un plantage ou permettre l'exécution de code à distance.
  • CVE‑2025‑12978 – Une faille logique dans la correspondance des balises qui permet d’usurper des balises de confiance en devinant uniquement le caractère initial d’une Tag_Key, permettant aux attaquants de rediriger les journaux, de contourner le filtrage et d’injecter des enregistrements manipulés.
  • CVE-2025-12977 – Validation incorrecte des balises issues de champs contrôlés par l’attaquant. Des entrées malveillantes peuvent injecter des séquences de parcours, des sauts de ligne ou des caractères de contrôle susceptibles de corrompre les pipelines de journalisation en aval.
  • CVE-2025-12969 – Authentification manquante dans le plugin in_forward utilisé par les instances Fluent Bit communiquant via le protocole Forward. Cette omission permet l'injection de journaux falsifiés ou la saturation des outils de sécurité en aval par des événements fabriqués.

Impact potentiel sur les opérations cloud

Ensemble, ces vulnérabilités confèrent à Fluent Bit un contrôle important sur la manière dont il collecte, traite et stocke les données de télémétrie. Un attaquant déterminé peut détourner ou supprimer des événements essentiels, insérer des informations trompeuses, effacer les traces d'intrusion ou exécuter du code malveillant via des journaux manipulés. Compte tenu de la large adoption de Fluent Bit, ces risques menacent la fiabilité des environnements cloud d'entreprise et la sécurité de leur infrastructure de journalisation.

Correctifs et conseils des fournisseurs

Les problèmes ont été résolus suite à une divulgation coordonnée, avec des correctifs fournis dans les versions 4.1.1 et 4.0.12 de Fluent Bit, publiées en octobre 2025. AWS, qui a également participé au processus de divulgation, conseille à tous les clients utilisant Fluent Bit de mettre à jour rapidement pour rester protégés.

Recommandations de sécurité

Pour réduire l'exposition et renforcer les mécanismes de surveillance, les experts recommandent de resserrer la configuration et de limiter les surfaces d'attaque. Les principales mesures de défense comprennent :

Évitez d'utiliser des balises dynamiques pour le routage et limitez les chemins de sortie afin d'empêcher l'expansion ou la traversée des chemins pilotée par les balises.

Montez les répertoires de configuration tels que /fluent-bit/etc/ en lecture seule, bloquez la manipulation lors de l'exécution et exécutez Fluent Bit sous des comptes non root.

Contexte issu de découvertes antérieures

Cette divulgation fait suite à une précédente vulnérabilité de Fluent Bit signalée il y a plus d'un an : CVE-2024-4323, également connue sous le nom de Linguistic Lumberjack. Cette faille affectait le serveur HTTP intégré de l'agent et exposait les instances à des attaques par déni de service (DoS), à la fuite de données et à l'exécution de code à distance. Les problèmes nouvellement identifiés soulignent l'importance cruciale de sécuriser les outils de télémétrie qui constituent le fondement de l'observabilité du cloud.

Tendance

Le plus regardé

Chargement...