雲端核心監控元件的巨大安全盲點

在現代雲端和容器化架構中，遙測代理程式扮演著基礎設施監控的關鍵核心。開源、輕量級且高效能的 Fluent Bit，便是其中應用最廣泛的工具之一，負責從數百萬個容器和雲端服務中收集、處理並轉發日誌、指標與追蹤數據。然而，近期由 Oligo Security 揭露的五個嚴重漏洞，使這個核心元件成為攻擊者深入雲端環境並實現基礎設施接管的巨大安全盲點。這些漏洞不僅影響數據的完整性，更直接威脅到運行環境的安全性。

Oligo Security網路安全研究人員在開源輕量級遙測代理Fluent Bit中發現了五個漏洞，這些漏洞可能被串聯起來，允許攻擊者繞過身份驗證、執行路徑遍歷、實現遠端程式碼執行、造成拒絕服務以及操縱標籤，從而破壞和接管雲端基礎設施。 研究人員表示：「這類漏洞所賦予攻擊者的控制權，可能使其能夠更深入地入侵雲環境，透過 Fluent Bit 執行惡意程式碼，同時還能控制記錄哪些事件、刪除或重寫罪證條目以在攻擊後隱藏踪跡、注入虛假遙測資料以及注入看似合理的虛假事件來誤導響應人員。」 成功利用這些漏洞可能使攻擊者能夠破壞雲端服務、篡改數據，並深入滲透到雲端和 Kubernetes 基礎設施。已識別的漏洞清單如下：

Fluent Bit 五大嚴重漏洞清單與具體威脅解析

1. CVE-2025-12972 - 路徑遍歷漏洞，源自於使用未經清理的標籤值產生輸出檔名，使得可以寫入或覆蓋磁碟上的任意文件，從而實現日誌篡改和遠端程式碼執行。
2. CVE-2025-12970 - Docker Metrics輸入外掛程式 (in_docker) 中存在堆疊緩衝區溢位漏洞，攻擊者可以透過建立名稱過長的容器來觸發程式碼執行或使代理程式崩潰。
3. CVE-2025-12978 - 標籤匹配邏輯中的漏洞允許攻擊者透過猜測 Tag_Key 的第一個字元來偽造受信任的標籤（這些標籤會分配給 Fluent Bit 接收的每個事件），從而允許攻擊者重新路由日誌、繞過過濾器，並在受信任的標籤下注入惡意或誤導性的記錄。
4. CVE-2025-12977 - 對從使用者控製字段派生的標籤的輸入驗證不當，允許攻擊者註入換行符、遍歷序列和控製字符，從而破壞下游日誌。
5. CVE-2025-12969 - 用於從其他 Fluent Bit 實例使用Forward 協議接收日誌的in_forward 插件缺少 security.users 身份驗證，攻擊者可以利用此漏洞發送日誌、注入虛假遙測數據，並用虛假事件淹沒安全產品的日誌。

漏洞鏈結：從日誌篡改到遠端程式碼執行

這些漏洞最令人擔憂的在於它們可被串聯（Chain）利用。例如，攻擊者可利用 CVE-2025-12969 的認證繞過缺陷，向 Fluent Bit 代理程式注入惡意日誌。接著，利用 CVE-2025-12977 和 CVE-2025-12978 來操縱日誌標籤和內容，達到偽造或破壞下游日誌系統的目的。

最關鍵的威脅來自於 CVE-2025-12972 的路徑遍歷（Path Traversal）漏洞。由於攻擊者可以通過未經清理的標籤值，控制輸出檔名，進而將惡意程式碼或配置寫入或覆蓋系統上的任意文件，從而達到遠端程式碼執行（RCE）的目的。一旦 RCE 成功，攻擊者便取得了 Fluent Bit 所在節點的控制權，能夠橫向移動，並對整個 Kubernetes 或雲端基礎設施造成災難性破壞。

此外，CVE-2025-12970 的緩衝區溢位漏洞也直接提供了 RCE 或拒絕服務（DoS）的可能性，特別是對於在 Docker 環境中執行 Fluent Bit 服務的組織。這些漏洞的綜合影響，使得攻擊者不僅能夠破壞數據的可信度，還能完全控制基礎設施，隱藏攻擊痕跡，並誤導事件響應團隊，構成對雲端環境的極大威脅。

緊急緩解與長期強化的部署安全原則

鑑於 Fluent Bit 在企業環境中的普及程度，這些缺陷可能會損害對雲端服務的訪問，允許資料篡改，並奪取日誌服務本身的控制權。組織必須將修補（Patching）作為首要任務，升級到最新版本是解決這些 CVE 的根本方法。

除了立即修補之外，長期的安全建議措施包括避免使用動態標籤進行路由，鎖定輸出路徑和目標以防止基於標籤的路徑擴展或遍歷，將 /fluent-bit/etc/ 和設定檔掛載為唯讀以阻止執行時間篡改，以及以非 root 使用者身分執行服務。實施最小權限原則，確保 Fluent Bit 進程僅具有執行其基本功能所需的最低權限，能夠有效限制攻擊者在成功利用漏洞後所能造成的損害範圍。

資料來源：https://thehackernews.com/2025/11/new-fluent-bit-flaws-expose-cloud-to.html