Một chuỗi lỗ hổng CVE nghiêm trọng mới được phát hiện trong Fluent Bit đã khiến hàng tỷ môi trường container hóa có nguy cơ bị chiếm quyền điều khiển từ xa. Fluent Bit, một tác nhân ghi nhật ký và đo lường từ xa (telemetry agent) mã nguồn mở, đã được triển khai hơn 15 tỷ lần trên toàn cầu và đóng vai trò trung tâm trong hạ tầng đám mây hiện đại. Công cụ này thu thập, xử lý và chuyển tiếp nhật ký trên các hệ thống ngân hàng, nền tảng đám mây lớn như AWS và Microsoft Azure, cùng với các môi trường Kubernetes.
Chuỗi Lỗ Hổng Nghiêm Trọng trong Fluent Bit
Các lỗ hổng được công bố gần đây cho phép kẻ tấn công bỏ qua cơ chế xác thực, thực hiện các thao tác file trái phép, đạt được remote code execution (thực thi mã từ xa) và gây ra các cuộc tấn công từ chối dịch vụ (Denial-of-Service – DoS) thông qua việc thao túng các thẻ (tags) không được làm sạch.
Bề mặt tấn công mở rộng trên nhiều chức năng quan trọng. Kẻ tấn công khai thác những lỗ hổng này có thể làm gián đoạn các dịch vụ đám mây, giả mạo dữ liệu và thực thi mã độc hại trong khi che giấu dấu vết của chúng.
Bằng cách kiểm soát hành vi dịch vụ ghi nhật ký, kẻ tấn công có khả năng tiêm telemetry giả mạo, định tuyến nhật ký đến các đích không được phép và thay đổi những sự kiện được ghi lại.
Tầm Quan Trọng của Fluent Bit trong Hạ Tầng Đám Mây
Fluent Bit là một thành phần cơ bản trong hạ tầng đám mây hiện đại. Khi các lỗi xảy ra ở quy mô lớn như vậy, chúng không chỉ ảnh hưởng đến các hệ thống riêng lẻ mà còn lan rộng khắp toàn bộ hệ sinh thái đám mây.
Một số lỗ hổng đã tồn tại mà không được vá lỗi trong hơn tám năm, khiến các môi trường đám mây tiếp tục đối mặt với nguy cơ từ những kẻ tấn công kiên trì. Các nhà nghiên cứu bảo mật tại Oligo Security đã xác định những lỗ hổng này, phối hợp với AWS thông qua quy trình công bố lỗ hổng phối hợp. Bạn có thể tìm hiểu thêm về phát hiện này tại blog của Oligo Security.
Nghiên cứu này cho thấy những điểm yếu trong các thành phần hạ tầng cơ bản có thể kích hoạt các chuỗi tấn công tinh vi, ảnh hưởng đến hàng triệu triển khai trên toàn thế giới.
Phân Tích Kỹ Thuật Lỗ Hổng CVE-2025-12972
Các nhà phân tích của Oligo Security đã xác định các lỗ hổng sau khi thực hiện đánh giá bảo mật kỹ lưỡng đối với các plugin đầu vào và đầu ra của Fluent Bit. Nhóm nghiên cứu phát hiện ra rằng các cơ chế xác thực, kiểm tra đầu vào và xử lý bộ đệm chứa các lỗ hổng bảo mật nghiêm trọng. Những phát hiện của họ đã thúc đẩy sự phối hợp ngay lập tức với AWS và những người bảo trì Fluent Bit, dẫn đến các bản sửa lỗi được phát hành trong phiên bản 4.1.1.
CVE-2025-12972 đại diện cho một trong những lỗ hổng nguy hiểm nhất trong chuỗi. Plugin đầu ra File trong Fluent Bit ghi nhật ký trực tiếp vào hệ thống file sử dụng hai tham số cấu hình: Path và File.
Cơ Chế Khai Thác Path Traversal
Nhiều cấu hình phổ biến chỉ sử dụng tùy chọn Path và lấy tên file từ các thẻ ghi nhật ký (record tags). Tuy nhiên, plugin này không làm sạch (sanitize) các thẻ này trước khi xây dựng đường dẫn file. Kẻ tấn công có thể tiêm các chuỗi path traversal như "../" vào các giá trị thẻ để thoát khỏi thư mục dự định và ghi file vào bất kỳ đâu trên hệ thống.
Vì kẻ tấn công có thể kiểm soát một phần dữ liệu được ghi vào các file này thông qua thao tác nội dung nhật ký, chúng có thể tạo các file cấu hình độc hại, script hoặc file thực thi tại các vị trí hệ thống quan trọng.
Kịch Bản Chiếm Quyền Điều Khiển Hệ Thống
Khi Fluent Bit chạy với đặc quyền cao (elevated privileges), việc khai thác này dẫn đến remote code execution. Lỗ hổng trở nên dễ khai thác khi đầu vào HTTP được cấu hình với cài đặt Tag_Key và đầu ra File thiếu tham số File rõ ràng.
Các cấu hình sử dụng đầu vào forward kết hợp với đầu ra file cũng dễ bị tổn thương tương tự, cho phép kẻ tấn công không cần xác thực tiêm các thẻ độc hại và ghi các file tùy ý.
Biện Pháp Giảm Thiểu và Khắc Phục
Việc cập nhật bản vá bảo mật lên phiên bản 4.1.1 hoặc 4.0.12 là rất quan trọng đối với tất cả các tổ chức đang chạy Fluent Bit. Các tổ chức nên ưu tiên cập nhật các triển khai sản xuất và triển khai các thay đổi cấu hình để hạn chế bề mặt tấn công.
Cập Nhật Phiên Bản
Để đảm bảo an toàn, các quản trị viên hệ thống cần cập nhật Fluent Bit lên phiên bản mới nhất càng sớm càng tốt. Ví dụ, đối với triển khai Docker, có thể sử dụng lệnh sau:
docker pull fluent/fluent-bit:4.1.1
docker tag fluent/fluent-bit:4.1.1 fluent/fluent-bit:latest
docker stop <fluent_bit_container_id>
docker rm <fluent_bit_container_id>
docker run -d --name fluent-bit fluent/fluent-bit:latestHoặc, nếu sử dụng gói hệ thống, hãy sử dụng trình quản lý gói phù hợp (ví dụ: apt, yum) để nâng cấp.
Cấu Hình Bảo Mật
Các thẻ tĩnh, được xác định trước loại bỏ đầu vào không đáng tin cậy ảnh hưởng đến định tuyến và các thao tác file. Đặt các tham số Path và File rõ ràng trong cấu hình đầu ra sẽ ngăn chặn việc xây dựng đường dẫn động dựa trên thẻ. Ví dụ về cấu hình an toàn cho plugin File Output:
[OUTPUT]
Name file
Match *
Path /var/log/fluent-bit/
File application.log
Format jsonNgoài ra, việc chạy Fluent Bit với các đặc quyền không phải root và cấu hình file được gắn kết chỉ đọc (read-only mounted configuration files) sẽ giảm đáng kể tác động của việc khai thác thành công. AWS đã bảo mật các hệ thống nội bộ của mình và khuyến nghị tất cả khách hàng nâng cấp ngay lập tức.
Nhận Thức về An Ninh Phần Mềm Nguồn Mở
Cộng đồng bảo mật xem những lỗ hổng này là bằng chứng về những thách thức hệ thống trong việc báo cáo bảo mật mã nguồn mở, nơi các thành phần hạ tầng quan trọng thường dựa vào những người bảo trì tình nguyện với nguồn lực hạn chế để giải quyết các tiết lộ bảo mật phối hợp.
