Ако бъдат използвани, тези пропуски могат да позволят на нападателите да получат неоторизиран достъп до чувствителна информация или като цяло да причинят проблеми
Преди няколко дни Устойчиви изследвания, съобщи новината, че Открих уязвимост на повредена памет във Fluent Bit (проект с отворен код), използван за обработка и събиране на регистрационни файлове и показатели, има над 10 милиарда внедрявания в предприятия и облачни платформи, включително Google Cloud, AWS, DigitalOcean, Microsoft и други.
изброени под "CVE-2024-4323", y с прякор "Лингвистичен дървосекач", Може да се използва за причиняване на отказ на услуга, изтичане на данни и потенциално изпълнение на код на сървъра. Споменава се, че откритата уязвимост има ниво на сериозност 9.8 от 10. Уязвимостта се появи във версия 2.0.7 и беше решена в коригиращите актуализации.
През март Fluent Bit регистрира 13 милиона изтегляния на изображения на Docker. Tenable, който идентифицира уязвимостта, отбеляза, че много облачни услуги не блокират достъпа до уеб API за вътрешни показатели и Fluent Bit се използва за обработка на тези API повиквания.
Tenable Research откри уязвимост на паметта във Fluent Bit. Този проблем се крие в анализирането на заявки за проследяване от вградения http сървър и може да доведе до условия за отказ на услуга, разкриване на информация или отдалечено изпълнение на код.
Fluent Bit Monitoring API има за цел да позволи на администраторите или други потребители да правят заявки и да наблюдават информация, вътрешна за самата услуга. Например има HTTP крайни точки за показване на време за работа на услугата, показатели на плъгини, проверки на състоянието и т.н.
Тази уязвимост позволява отдалечена повреда на паметта, тъй като разчита на неправилно обработване на външни заявки чрез извиквания на API "следи" от вградения http сървър. Тези API позволяват на потребителите да получават информация за конфигурациите за проследяване и данните на API могат да бъдат достъпни дори ако проследяването не е активирано, стига да е предоставен подходящ достъп.
Този пропуск в сигурността се крие в липсата на правилно валидиране на входните имена в рамките на заявки, което може да доведе до условия за отказ на услуга (DoS), разкриване на информация или дистанционно изпълнение на код (RCE).
При анализа на входящи заявки, където типовете на някои полета за въвеждане, преминали през масив в JSON блок, бяха неправилно определени и интерпретирани като тип MSGPACK_OBJECT_STR, независимо от очаквания тип поле. Това причини повреда на паметта, когато не-низови стойности, като например цели параметри, бяха посочени във входния масив от данни, тъй като функцията
flb_sds_create_len()извлече подадената целочислена стойност, сякаш беше низ, което доведе до повреда на паметта.
Споменава се, че по време на анализа на уязвимостd, беше отбелязано, че липсата на правилно валидиране на входните имена в заявките към API за наблюдение на Fluent Bit може да предизвика проблеми с повреда на паметта и в крайна сметка да позволи дистанционно изпълнение на злонамерен код.
Тази уязвимост беше успешно използван в изолирана лабораторна среда да доведе до прекъсване на услугата и да причини сценарий за отказ на услуга. По време на експериментите изследователите успя да срине услугата и да определи остатъчното съдържание на паметта, използвана при обработка на HTTP заявки, намиране на части от чувствителни данни, като ключове за достъп. Тъй като проблемът причинява препълване на буфера в зависимост от подадените параметри, той теоретично може да бъде използван за изпълнение на код в системата. Въпреки това, изследователите, които са идентифицирали проблема, не са тествали тази възможност поради липса на време за разработване на експлойта.
Струва си да се спомене това Използването на тази уязвимост може да има сериозни последствия, тъй като атакуващият може да компрометира целостта и наличността на услугата, да получи поверителна информация и дори да изпълни дистанционно код на засегнатата система. Въпреки че дистанционното изпълнение на код може да бъде сложно поради различни фактори, основният риск се съсредоточава върху атаки за отказ на услуга и изтичане на информация.
За да се обърне внимание на уязвимостта, Fluent Bit реши проблема иn коригиращи актуализации 2.2.3 и 3.0.4. Решението, въведено във версия 3.0.4, включва правилно валидиране на типовете данни на стойностите, присъстващи в масива "inputs", предаван на крайната точка "traces".
И накрая, ако се интересувате да научите повече за него, можете да се консултирате с подробностите в следваща връзка.