Fluent Bit ist eine Protokollierungs- und Metrik-Lösung, die vorrangig für Cloud-Umgebungen genutzt wird. Eine kürzlich entdeckte kritische Schwachstelle kann für Nutzer von Microsoft, Google und Amazon zum Problem werden. Um Angriffe zu verhindern, werden Updates dringend empfohlen.
Das von vielen Cloud-Anbietern genutzte Protokollierungstool Fluent Bit sammelt und verarbeitet Daten. Nun weist der eingebaute HTTP-Server eine Schwachstelle auf, die eine Ausführung von Schadcodes ermöglicht und zur Offenlegung von Informationen genutzt werden kann. Sie eröffnet verschiedene Möglichkeiten für Hackerangriffe. Umso erschreckender ist, dass die Sicherheitslücke bereits seit der am 19. Dezember 2022 veröffentlichten Fluent-Bit-Version 2.0.7 besteht.
Kritische Sicherheitsprobleme bei Fluent Bit
Sicherheitsforscher von Tenable entdeckten die als CVE-2024-4323 bezeichnete Sicherheitslücke, den sogenannten Linguistic Lumberjack. Fluent Bit verfügt über einen eingebetteten HTTP-Server, bei dem die Sicherheitslücke eine Speicherüberlaufschwäche darstellt. Das Problem tritt beim Parsen von Trace-Anfragen auf. Angreifer könnten die Lücke für Denial-of-Service-Angriffe ausnutzen oder aus der Ferne sensible Informationen ausspähen. Bereits seit dem 19. Dezember 2022 ist diese Schwachstelle bekannt.
Eine Remote-Code-Execution ist möglich, wenn die Zeit ausreicht, um einen verlässlichen Exploit zu erstellen und weitere Bedingungen gegeben sind. Es ist zeitaufwändig und schwierig, ein solches zuverlässiges Exploit bereitzustellen. Das unmittelbare Risiko besteht darin, das Informationslecks und DoS-Attacken unkompliziert ausgeführt werden können.
Probleme durch unzureichende Validierung
Probleme entstehen durch eine unzureichende Validierung von Daten, die an den Endpunkt /api/v1/traces übergeben werden. Laut Angaben der Forscher können viele Speicherfehler durch die Übergabe von Nicht-String-Werten auftreten. Dabei kann es sich um Integer-Werte im Inputs-Feld einer Anfrage handeln.
Die Forscher wiesen auf fünf mögliche Fehler hin, die durch Integer-Werte ausgelöst werden können. Solche Fehler können verschiedene Probleme verursachen:
- Absturz
- Auslesen angrenzender Speicherbereiche
- Remotecodeausführung (RCE)
Wer ist von der Sicherheitslücke betroffen?
Fluent Bit wird in Cloud-Umgebungen eingesetzt, um Daten zu sammeln und zu verarbeiten. Alle großen Cloudanbieter und verschiedene Technologie- sowie Cybersecurity-Unternehmen nutzen es. Das Tool wird nach Angaben der Webseite des Projekts bei Microsoft, Google Cloud, LinkedIn, Cisco, Trend Micro, AWS, Intel, Adobe, Amazon, Dell und VMware genutzt. Es ist Bestandteil vieler gängiger Kubernetes-Distributionen, zu denen auch Microsoft Azure gehört.
Fluent Bit wurde bis März 2024 von Dockerhub ungefähr 13 Milliarden Mal heruntergeladen. Im Oktober 2022 wurden lediglich 3 Milliarden Downloads verzeichnet.
Mehr Sicherheit mit Workaround und Fix
Bereits am 30. April 2024 haben die Forscher von Tenable das Entwicklerteam von Fluent Bit über die Sicherheitslücke informiert. Am 15. Mai wurde in die Codebasis von Fluent Bit ein Fix aufgenommen. Er validiert ordnungsgemäß die Datentypen der Werte, die im Inputs-Array übergeben wurden.
Der Fix wird für die Fluent Bit Version 3.0.4 genutzt, die erst seit dem 21. Mai 2024 verfügbar ist. Tenable hat eigenen Angabe zufolge am 15. Mai auch Google, Microsoft und Amazon über das Sicherheitsproblem informiert, damit sie die entsprechenden Maßnahmen einleiten können.
Was Nutzer jetzt tun sollten
Nutzer von Fluent Bit können sich beim Zugang zur Überwachungs-API auf autorisierte Dienste beschränken, wenn sie Fluent Bit in der eigenen Infrastruktur anwenden. Wird die API-Endstelle nicht genutzt, sollten Nutzer sie deaktivieren. Potenzielle Angriffe lassen sich verhindern, da die Angriffsfläche kleiner ist. Empfohlen wird auch eine Aktualisierung von Fluent Bit auf die neueste Version.
Quellen: Tenable, Fluent Bit, Chip, Winfuture, Golem