- Le falle in Fluent Bit consentono agli aggressori di manipolare i log ed eseguire codice in remoto.
- La vulnerabilità CVE-2025-12972 consente la sovrascrittura di file su disco per un potenziale compromesso del sistema.
- La vulnerabilità CVE-2025-12970 sfrutta un buffer overflow dello stack per innescare l'esecuzione di codice in remoto.
Un noto strumento open source ampiamente utilizzato per l'elaborazione dei log presenta difetti critici che potrebbero consentire agli aggressori di compromettere l'infrastruttura cloud, secondo l'allarme lanciato dagli esperti.
Una ricerca di Oligo sostiene che le vulnerabilità in Fluent Bit consentono la manipolazione dei log, il bypass dell'autenticazione e l'esecuzione di codice in remoto sui sistemi dei principali fornitori di servizi cloud, tra cui AWS, Google Cloud e Microsoft Azure.
Fluent Bit è implementato in miliardi di container e ampiamente utilizzato in settori come quello bancario, l'intelligenza artificiale (IA) e la produzione, rendendolo un bersaglio interessante.
Falle specifiche e rischi
Lo sfruttamento di queste vulnerabilità potrebbe interrompere i servizi di cloud storage, alterare i dati e minacciare le operazioni aziendali che dipendono da un accesso cloud costante.
Il team di ricerca di Oligo Security ha identificato cinque vulnerabilità e, collaborando con i manutentori del progetto, ha pubblicato i dettagli relativi ai bug.
Le vulnerabilità divulgate includono path traversal attraverso valori di tag non sanificati, stack buffer overflow, bypass della corrispondenza dei tag e fallimenti nell'autenticazione.
La vulnerabilità CVE-2025-12972 consente agli aggressori di sovrascrivere file arbitrari su disco, mentre la CVE-2025-12970 può innescare l'esecuzione di codice in remoto tramite la denominazione dei container.
Le vulnerabilità CVE-2025-12978 e CVE-2025-12977 consentono il reindirizzamento dei log, l'iniezione di voci fuorvianti e l'alterazione dei registri di monitoraggio.
La vulnerabilità CVE-2025-12969 disabilita l'autenticazione su alcuni forwarder, consentendo agli aggressori di iniettare telemetria falsa o sovraccaricare i sistemi di rilevamento.
"Possiamo notare, basandoci sulla cronologia del codice, che la falla di gestione dei tag alla base della CVE-2025-12977 è presente da almeno quattro anni, e il buffer overflow di input di Docker (CVE-2025-12970) risale a circa 6 anni fa," ha dichiarato Uri Katz, ricercatore di Oligo Security.
Queste vulnerabilità potrebbero ostacolare gli sforzi di rimozione del malware negli ambienti di cloud hosting e permettere agli aggressori di nascondere le tracce di attività non autorizzate.
AWS ha riconosciuto le vulnerabilità e ha rilasciato Fluent Bit versione 4.1.1 per proteggere i sistemi interni.
Si consiglia ai clienti di aggiornare i workload a quest'ultima versione e di utilizzare Amazon Inspector, Security Hub e Systems Manager per rilevare le anomalie.
Le aziende dovrebbero verificare le configurazioni dei log e mantenere un monitoraggio continuo.
Insieme a questi aggiornamenti, sono raccomandate misure di protezione tramite firewall e soluzioni antivirus per limitare l'esposizione.
Detto questo, la diffusa implementazione di Fluent Bit implica che un certo rischio residuo possa persistere anche dopo l'applicazione delle patch, e queste vulnerabilità sono facili da sfruttare.
"Ci sono diverse vulnerabilità con differenti livelli di complessità," ha osservato Katz. "Alcune possono essere innescate con una comprensione di base del comportamento di Fluent Bit... mentre altre... richiedono maggiore familiarità con la corruzione della memoria. Nel complesso, la soglia tecnica per sfruttarle è relativamente bassa."
