Fluent Bit ログ管理に深刻な脆弱性 CVE-2024-4323:DoS 攻撃のための PoC が提供される

Experts Warn Of A Flaw In Fluent Bit Utility That Is Used By Major Cloud Platforms And Firms

2024/05/21 SecurityAffairs — 主要クラウド・プラットフォームで使用されている、Fluent Bit ユーティリティに深刻な脆弱性が存在することを、Tenable の研究者たちが発見した。オープンソースとして提供される Fluent Bit は、ログを取り扱うための軽量かつ高性能なプロセッサ/フォワーダである。このユーティリティは、各種のソースから各種のディスティネーションへと、ログなどの多様なデータを収集/処理/転送するように設計されている。Fluent Bit は Fluentd エコシステムの一部であり、リソース効率に最適化されているため、IoT デバイス/エッジ・コンピューティング/コンテナ化されたアプリケーションなどの、リソースが限定されている環境に適している。


このツールは、2022年の時点で 30億回以上もダウンロードされ、1,000万件/日のペースで新たにデプロイされている。

このユーティリティは、VMware/Cisco/Adobe/Walmart/Splunk/Intel/Arm/Adobe/LinkedIn などの大手企業や、AWS/Microsoft/Google Cloud などを含む、ほぼ全てのクラウド・サービス・プロバイダーでも使用されている。

サイバーセキュリティ企業 Tenable の研究者たちが発見したのは、Fluent Bit ユーティリティに存在する脆弱性 CVE-2024-4323 (CVSS:9.8) であり、それを Linguistic Lumberjack と呼んでいる。

この脆弱性が悪用されると、サービス拒否 (DoS) 状態が引き起こされ、情報漏洩につながり、リモート・コード実行 (RCE) にいたる可能性もあるという。

Tenable が発見したのは、具体的に言うと、Fluent Bit のモニタリング API 存在する脆弱性であり、この API にアクセスするユーザーまたはサービスが、サービス拒否 (DoS) 攻撃を引き起こし、機密性の高い情報などを取得する可能性である。

Fluent Bit のモニタリング API の管理者は、さまざまな HTTP エンドポイントを通じて、サービスの稼働時間やプラグインのメトリクスといった、内部サービスの情報を照会/監視できる。そして、Tenable の研究者たちは、トレース設定を管理するエンドポイント “/api/v1/tracesと/api/v1/trace” に対して、API アクセス権を持つ全てのユーザーがアクセスできることを発見した。

この脆弱性は、これらのエンドポイントへのリクエストのパース時に発生するものであり、入力名のデータ型が適切に検証されていないことに起因する。つまり、入力名のデータ型が適切に検証されないため、入力名が有効な文字列 (MSGPACK_OBJECT_STRs) であると誤認されてしまう状況にある。攻撃者が “inputs” 配列に対して、整数のような文字列ではない値を渡すことで、メモリ破壊を引き起こす可能性があることを、研究者たちは発見した。具体的には、”flb_sds_create_len()” 関数が値を誤って解釈し、潜在的な脆弱性を引き起こす可能性があるというものだ。

Tenable が公表したレポートには、「研究者たちのラボ環境では、この問題を悪用してサービスをクラッシュさせ、サービス拒否シナリオを引き起こせることが、繰り返して確認された。また、HTTP レスポンスで返される隣接メモリのチャンクを取得することも可能だった。一般的に、この問題により、以前のメトリクス・リクエスト以外の何かが明らかになる可能性は低いが、テスト中において部分的なシークレットを取得することもあった」と記されている。

同レポートは、「この問題のリモート・コード実行の可能性については、ホストのアーキテクチャやオペレーティング・システムなど、さまざまな環境要因に依存するようだ。このような、ヒープバッファ・オーバーフローの悪用が可能であると認識されているが、信頼性の高いエクスプロイトの作成は困難であり、膨大な時間を必要とする。したがって、研究者たちは、最も直接的なリスクとして、DoS や情報漏えいが容易であることを挙げている」とも指摘している。

Fluent Bit utility


この脆弱性は、バージョン 2.0.7 に混入し、バージョン 3.0.3 まで存在していた。すでに、この脆弱性は、メイン・ソース・ブランチで対処されており、バージョン 3.0.4 のリリースが待たれている。

Tenable は、Dos 状態を引き起こすための、PoC エクスプロイトも提供している。

なお、Tenable は、DoS 状態を引き起こすための、PoC エクスプロイトも公開している。Fluent Bit で検索してみると、かなりの数の日本語ページがヒットするので、国内にも相当数のユーザーがいるのだろうと推測されます。その Fluent Bit ですが、トレース設定を管理するエンドポイントに対して、API アクセス権を持つ全てのユーザーがアクセスできることを、Tenable の研究者たちが発見したとのことです。また、PoC エクスプロイトもリリースされていますので、ご利用のチームは、ご注意ください。