كشف باحثون في مجال الأمن السيبراني عن وجود خمس ثغرات أمنية في Fluent Bit، وهو عامل قياس عن بعد مفتوح المصدر وخفيف الوزن، يمكن استغلالها للوصول إلى البنى التحتية السحابية والسيطرة عليها. وهذه الثغرات تمثل تحديًا أمنيًا بالغ الأهمية في عالم التقنيات السحابية.
ووفقاً لتقرير صادر عن شركة Oligo Security، فإن هذه العيوب الأمنية تسمح للمهاجمين بتجاوز المصادقة، وتنفيذ هجمات اجتياز المسار (path traversal)، وتنفيذ التعليمات البرمجية عن بعد (RCE)، والتسبب في حالات حجب الخدمة (DoS)، والتلاعب بالبيانات المسجلة (tags). يشكل اكتشاف هذه الثغرات خطوة رئيسية نحو تعزيز أمن المنصات السحابية.
ثغرات Fluent Bit: تهديد متزايد للأمن السحابي
تأثير الثغرات على البنى التحتية السحابية
يمكن أن يؤدي الاستغلال الناجح لهذه الثغرات إلى تعطيل الخدمات السحابية، والتلاعب بالبيانات، واختراق أعمق للبنى التحتية السحابية ومنصات Kubernetes. وتتنوع هذه الثغرات لتشمل قدرة المهاجمين على التسلل إلى الأنظمة بطرق مختلفة.
تفاصيل الثغرات المكتشفة
تم تحديد الثغرات بناءً على تقييم شامل لآلية عمل Fluent Bit، وتشمل:
- CVE-2025-12972: ثغرة اجتياز مسار ناتجة عن استخدام قيم غير معقمة لإنشاء أسماء ملفات الإخراج، مما يتيح للمهاجمين الكتابة أو الكتابة فوق ملفات عشوائية على القرص، وتمكين التلاعب بالسجلات وتنفيذ التعليمات البرمجية عن بعد.
- CVE-2025-12970: ثغرة تجاوز سعة المخزن المؤقت في مكون الإدخال الخاص بمقاييس Docker (in_docker)، والتي يمكن أن تسمح للمهاجمين بتنفيذ تعليمات برمجية أو تعطيل العامل عن طريق إنشاء حاويات بأسماء طويلة بشكل مفرط.
- CVE-2025-12978: ثغرة في آلية مطابقة العلامات (tag-matching) تسمح للمهاجمين بانتحال علامات موثوقة عن طريق تخمين الحرف الأول فقط لمفتاح العلامة (Tag_Key)، مما يتيح للمهاجم إعادة توجيه السجلات، وتجاوز عوامل التصفية، وحقن سجلات ضارة أو مضللة تحت علامات موثوقة.
- CVE-2025-12977: عدم كفاية التحقق من صحة المدخلات للعلامات المشتقة من حقول يتحكم فيها المستخدم، مما يسمح للمهاجم بحقن أحرف سطر جديد، وتسلسلات اجتياز، وأحرف تحكم يمكن أن تفسد السجلات اللاحقة.
- CVE-2025-12969: نقص في مصادقة مستخدمي الأمان (security.users) في مكون الإدخال in_forward، والذي يستخدم لاستقبال السجلات من مثيلات Fluent Bit الأخرى باستخدام بروتوكول Forward، مما يسمح للمهاجمين بإرسال سجلات، وحقن بيانات تتبع زائفة، وإغراق سجلات المنتج الأمني بأحداث زائفة.
الآثار المحتملة واستغلال الثغرات
أوضح الباحثون أن “السيطرة التي تتيحها هذه الفئة من الثغرات يمكن أن تسمح للمهاجم باختراق أعمق في البيئة السحابية لتنفيذ تعليمات برمجية ضارة عبر Fluent Bit، مع التحكم في الأحداث التي يتم تسجيلها، ومسح أو إعادة كتابة الإدخالات المتهمة لإخفاء مساراتهم بعد الهجوم، وحقن بيانات تتبع وهمية، وحقن أحداث وهمية معقولة لتضليل المستجيبين.”
من جهتها، أكدت مركز تنسيق CERT (CERT/CC) في إشعار مستقل أن العديد من هذه الثغرات تتطلب أن يتمكن المهاجم من الوصول إلى شبكة مثيل Fluent Bit، مضيفة أنها يمكن أن تستخدم لتجاوز المصادقة، وتنفيذ التعليمات البرمجية عن بعد، وتعطيل الخدمة، والتلاعب بالعلامات.
الاستجابة والإجراءات الوقائية
بعد عملية الإفصاح المسؤولة، تم معالجة هذه المشكلات في الإصدارات 4.1.1 و 4.0.12 التي تم إصدارها الشهر الماضي. وقد حثت Amazon Web Services (AWS)، التي شاركت أيضًا في عملية الإفصاح المنسق، العملاء الذين يستخدمون Fluentbit على التحديث إلى أحدث إصدار للحصول على أقصى درجات الحماية.
بالنظر إلى شعبية Fluent Bit في بيئات المؤسسات، فإن هذه الثغرات لديها القدرة على التأثير على الوصول إلى الخدمات السحابية، والسماح بالتلاعب بالبيانات، والاستيلاء على خدمة التسجيل نفسها. ومن الإجراءات الموصى بها الأخرى تجنب استخدام العلامات الديناميكية للت توجيه، وتقييد مسارات ووجهات الإخراج لمنع التوسع أو الاجتياز القائم على العلامات، وتثبيت ملفات التكوين /fluent-bit/etc/ كملفات للقراءة فقط لمنع التلاعب وقت التشغيل، وتشغيل الخدمة كمستخدمين غير جذور.
يأتي هذا التطور بعد أكثر من عام من قيام شركة Tenable بالكشف عن ثغرة في الخادم HTTP المدمج في Fluent Bit (CVE-2024-4323 المعروفة باسم Linguistic Lumberjack) والتي يمكن استغلالها لتحقيق حجب الخدمة (DoS) أو الكشف عن المعلومات أو تنفيذ التعليمات البرمجية عن بعد.