Une vulnérabilité critique de Fluent Bit qui peut être exploitée dans des attaques par déni de service et d’exécution de code à distance affecte tous les principaux fournisseurs de cloud et de nombreux géants de la technologie.
Fluent Bit est une solution de journalisation et de métriques extrêmement populaire pour Windows, Linux et macOS intégrée dans les principales distributions Kubernetes, y compris celles d’Amazon AWS, Google GCP et Microsoft Azure.
Jusqu’en mars 2024, Fluent Bit a été téléchargé et déployé plus de 13 milliards de fois, une augmentation massive par rapport aux trois milliards de téléchargements signalés en octobre 2022.
Fluent Bit est également utilisé par des entreprises de cybersécurité comme Crowdstrike et Trend Micro, et de nombreuses entreprises technologiques, telles que Cisco, VMware, Intel, Adobe et Dell.
Identifiée sous le numéro CVE-2024-4323 et surnommée Bûcheron linguistique par les chercheurs en sécurité de Tenable qui l’ont découverte, cette vulnérabilité critique de corruption de la mémoire a été introduite avec la version 2.0.7 et est causée par une faiblesse de débordement de tampon de tas dans l’analyse des requêtes de trace par le serveur HTTP intégré de Fluent Bit.
Même si les attaquants non authentifiés peuvent facilement exploiter la faille de sécurité pour déclencher un déni de service ou capturer des informations sensibles à distance, ils pourraient également l’utiliser pour obtenir l’exécution de code à distance si les conditions sont réunies et suffisamment de temps pour créer un exploit fiable.
« Bien que les débordements de mémoire tampon de tas comme celui-ci soient connus pour être exploitables, la création d’un exploit fiable est non seulement difficile, mais incroyablement chronophage », a déclaré Tenable.
« Les chercheurs estiment que les risques les plus immédiats et les plus primaires sont ceux liés à la facilité avec laquelle les fuites de DoS et d’informations peuvent être accomplies. »
Envoi de correctifs avec Fluent Bit 3.0.4
Tenable a signalé le bogue de sécurité au fournisseur le 30 avril et des correctifs ont été validés sur la branche principale de Fluent Bit le 15 mai. Les versions officielles contenant ce correctif devraient être livrées avec Fluent Bit 3.0.4 (les packages Linux sont disponibles ici).
Tenable a également informé Microsoft, Amazon et Google de ce bogue de sécurité critique le 15 mai via leurs plateformes de divulgation de vulnérabilités.
Jusqu’à ce que des correctifs soient disponibles pour toutes les plates-formes impactées, les clients qui ont déployé cet utilitaire de journalisation sur leur propre infrastructure peuvent atténuer le problème en limitant l’accès à l’API de surveillance de Fluent Bit aux utilisateurs et services autorisés.
Vous pouvez également désactiver ce point de terminaison d’API vulnérable s’il n’est pas utilisé pour garantir que les attaques potentielles sont bloquées et que la surface d’attaque est supprimée.