研究人員發(fā)現(xiàn)了 Fluent Bit 中的關(guān)鍵 0-day 漏洞，這款日志收集工具廣泛應(yīng)用于 AWS、Google Cloud 和 Microsoft Azure 等主要云服務(wù)提供商的云基礎(chǔ)設(shè)施中。這兩個漏洞被追蹤為 CVE-2024-50608 和 CVE-2024-50609（CVSS 評分 8.9），利用了 Fluent Bit 的 Prometheus Remote Write 和 OpenTelemetry 插件中的空指針解引用弱點(diǎn)。

Fluent Bit 擁有超過 150 億次下載和每日 1000 萬次部署，這些漏洞對全球企業(yè)和云生態(tài)系統(tǒng)構(gòu)成嚴(yán)重威脅。

漏洞利用機(jī)制與攻擊面

Prometheus Remote Write 漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過發(fā)送 Content-Length: 0 的 HTTP POST 請求，導(dǎo)致 Fluent Bit 服務(wù)器崩潰。這種情況在解析指標(biāo)數(shù)據(jù)時觸發(fā)了process_payload_metrics_ng()函數(shù)中的空指針解引用。以下是一個簡單的利用示例：

類似地，OpenTelemetry 插件在跟蹤配置請求中未能驗(yàn)證輸入類型。向/api/v1/traces端點(diǎn)發(fā)送非字符串值（例如整數(shù)）會導(dǎo)致堆內(nèi)存損壞，從而引發(fā)拒絕服務(wù)（DoS）或部分敏感信息泄露。Tenable 的實(shí)驗(yàn)室測試證實(shí)了相鄰內(nèi)存暴露，偶爾會泄露敏感的指標(biāo)數(shù)據(jù)。

Fluent Bit 的架構(gòu)通過涵蓋輸入解析、過濾和輸出路由進(jìn)一步放大了風(fēng)險。例如，配置不當(dāng)?shù)?HTTP 輸入插件會將 API 暴露給惡意負(fù)載：

影響：云基礎(chǔ)設(shè)施與企業(yè)面臨的風(fēng)險

Fluent Bit 已集成到 Kubernetes 和云監(jiān)控堆棧中，這意味著這些漏洞會波及多個服務(wù)。Cisco、Splunk 和 VMware 是其重要用戶，而 AWS Elastic Kubernetes Service (EKS) 等超大規(guī)模企業(yè)默認(rèn)將其嵌入。攻擊者利用這些漏洞可能會破壞日志管道，導(dǎo)致事件響應(yīng)和合規(guī)工作流程癱瘓。

Ebryx 使用 Boofuzz 進(jìn)行的模糊測試揭示了系統(tǒng)性缺陷。例如，以下腳本對 Prometheus 插件的 HTTP 處理程序進(jìn)行了模糊測試：

flb_sds_create_len()函數(shù)中缺乏輸入驗(yàn)證，使得簡單的 DoS 攻擊成為可能。

緩解措施與行業(yè)響應(yīng)

Fluent Bit 維護(hù)者在 v3.0.4 版本中發(fā)布了補(bǔ)丁，并將修復(fù)內(nèi)容回溯到 v2.2.3 版本。關(guān)鍵的緩解措施包括：

• 立即為 Fluent Bit 實(shí)例打補(bǔ)丁。
• 通過網(wǎng)絡(luò)策略或身份驗(yàn)證限制 API 訪問。
• 禁用未使用的端點(diǎn)，例如/api/v1/traces。

企業(yè)必須審核 Fluent Bit 配置、分割監(jiān)控網(wǎng)絡(luò)，并采用持續(xù)的模糊測試策略。正如 Tenable 的披露時間表所示，行業(yè)與 AWS、Google 和 Microsoft 協(xié)作的補(bǔ)丁發(fā)布工作避免了漏洞的大規(guī)模利用。

然而，鑒于每日有 1000 萬次部署面臨風(fēng)險，未打補(bǔ)丁的系統(tǒng)響應(yīng)時間極其有限。