Uma nova cadeia de cinco vulnerabilidades críticas descobertas no Fluent Bit expôs bilhões de ambientes em contêineres ao comprometimento remoto.
O Fluent Bit, um agente de registro e telemetria de código aberto implantado mais de 15 bilhões de vezes em todo o mundo, está no centro da infraestrutura de nuvem moderna.
A ferramenta coleta, processa e encaminha logs em sistemas bancários, plataformas em nuvem como AWS e Microsoft Azure e ambientes Kubernetes.
Quando ocorrem falhas nesta escala, elas não afetam apenas sistemas individuais, mas repercutem em todo o ecossistema de nuvem.
Essas falhas recentemente divulgadas permitem que invasores ignorem a autenticação, executem operações não autorizadas de arquivos, obtenham execução remota de código e causem ataques de negação de serviço por meio de manipulação não higienizada de tags.
A superfície de ataque se estende por múltiplas funcionalidades críticas. Os invasores que exploram essas vulnerabilidades podem interromper serviços em nuvem, adulterar dados e executar códigos maliciosos enquanto ocultam seus rastros.
Ao controlar o comportamento do serviço de registro, os adversários ganham a capacidade de injetar telemetria falsa, redirecionar os registros para destinos não autorizados e alterar quais eventos são registrados.
Algumas vulnerabilidades permaneceram sem correção por mais de oito anos, deixando os ambientes de nuvem expostos a determinados invasores. Os pesquisadores de segurança da Oligo Security identificaram essas falhas em colaboração com a AWS por meio da divulgação coordenada de vulnerabilidades.
A pesquisa demonstra como as fraquezas nos componentes fundamentais da infraestrutura podem permitir cadeias de ataques sofisticadas que afetam milhões de implantações em todo o mundo.
Os analistas da Oligo Security identificaram as vulnerabilidades após realizar avaliações de segurança completas dos plug-ins de entrada e saída do Fluent Bit.
A equipe de pesquisa descobriu que os mecanismos de autenticação, validação de entrada e manipulação de buffer continham lacunas críticas de segurança.
Suas descobertas levaram à coordenação imediata com a AWS e os mantenedores do Fluent Bit, resultando em correções lançadas na versão 4.1.1.
Análise técnica das vulnerabilidades de passagem de caminho e gravação de arquivos
CVE-2025-12972 representa uma das falhas mais perigosas da cadeia. O plugin de saída de arquivo no Fluent Bit grava logs diretamente no sistema de arquivos usando dois parâmetros de configuração: Caminho e Arquivo.
Muitas configurações comuns usam apenas a opção Path e derivam nomes de arquivos de tags de registro. No entanto, o plugin não consegue limpar essas tags antes de construir caminhos de arquivo. Os invasores podem injetar sequências de passagem de caminho como “../” nos valores das tags para escapar do diretório pretendido e gravar arquivos em qualquer lugar do sistema.
Cadeia de falhas (Fonte – Oligo)
Como os invasores mantêm controle parcial sobre os dados gravados nesses arquivos por meio da manipulação do conteúdo do log, eles podem criar arquivos de configuração, scripts ou executáveis maliciosos em locais críticos do sistema.
Quando o Fluent Bit é executado com privilégios elevados, isso leva à execução remota de código. A vulnerabilidade torna-se trivialmente explorável quando a entrada HTTP é configurada com configurações Tag_Key e a saída do arquivo não possui um parâmetro File explícito.
As configurações que usam a entrada direta combinada com a saída do arquivo são igualmente vulneráveis, permitindo que invasores não autenticados injetem tags maliciosas e gravem arquivos arbitrários.
CVE IDTipo de vulnerabilidadeComponente afetadoCVSS SeveridadeImpactCVE-2025-12972Path Traversal File Writeout_file pluginCriticalRCE, adulteração de logCVE-2025-12970Stack Buffer Overflowin_docker pluginCriticalDoS, RCECVE-2025-12978Comparação parcial de stringsHTTP/Splunk/Elasticsearch entradasCríticoSpoofing de tagCVE-2025-12977Validação de entrada inadequadaEntradas HTTP/Splunk/ElasticsearchCriticalAtaques de injeçãoCVE-2025-12969Autenticação ausenteplugin in_forwardCríticoAcesso não autorizado
A correção imediata para a versão 4.1.1 ou 4.0.12 é crítica para todas as organizações que executam o Fluent Bit. As organizações devem priorizar a atualização das implantações de produção e implementar alterações de configuração para limitar a exposição a ataques.
Tags estáticas e predefinidas eliminam entradas não confiáveis que influenciam as operações de roteamento e arquivo. Definir parâmetros Path e File explícitos nas configurações de saída impede a construção dinâmica de caminhos baseados em tags.
A execução do Fluent Bit com privilégios não root e arquivos de configuração montados somente leitura reduz significativamente o impacto de uma exploração bem-sucedida. A AWS já protegeu seus sistemas internos e recomenda a atualização imediata de todos os clientes.
A comunidade de segurança vê estas vulnerabilidades como prova de desafios sistémicos nos relatórios de segurança de código aberto, onde os componentes críticos da infraestrutura dependem frequentemente de mantenedores voluntários com recursos limitados para lidar com divulgações de segurança coordenadas.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
