اكتشفت سلسلة من خمس ثغرات أمنية حرجة في Fluent Bit، وهي أداة أساسية في البنية التحتية السحابية، مما يعرض مليارات البيئات المعبأة للخطر عن بعد. هذه الثغرات تسمح للمهاجمين بالوصول غير المصرح به وتنفيذ التعليمات البرمجية الضارة.
Fluent Bit، وهو عميل تسجيل وتتبع مفتوح المصدر تم نشره أكثر من 15 مليار مرة عالمياً، يمثل حجر الزاوية في البنية التحتية السحابية الحديثة. تقوم هذه الأداة بجمع ومعالجة وتوجيه السجلات لأنظمة حيوية مثل الأنظمة المصرفية، ومنصات الحوسبة السحابية مثل AWS وMicrosoft Azure، وبيئات Kubernetes.
عندما تحدث مشكلات في أداة بهذا الحجم، فإن تأثيرها لا يقتصر على الأنظمة الفردية، بل يمتد عبر النظام البيئي السحابي بأكمله. هذا يسلط الضوء على أهمية الأمان في المكونات الأساسية للبنية التحتية الرقمية.
تسمح الثغرات المكتشفة للمهاجمين بتجاوز آليات المصادقة، وإجراء عمليات غير مصرح بها على الملفات، وتنفيذ تعليمات برمجية عن بعد، وتوجيه هجمات الحرمان من الخدمة (DoS) من خلال تلاعب غير معقم بعلامات السجلات (tags). يمتد سطح الهجوم ليشمل وظائف حرجة متعددة.
ثغرات Fluent Bit الحرجة وتهديداتها للسحابة
من خلال استغلال هذه الثغرات، يمكن للمهاجمين تعطيل الخدمات السحابية، والتلاعب بالبيانات، وتنفيذ شفرات خبيثة مع إخفاء آثارهم. عبر التحكم في سلوك خدمة التسجيل، يمكن للمهاجمين إدخال بيانات تتبع وهمية، وإعادة توجيه السجلات إلى وجهات غير مصرح بها، وتغيير الأحداث التي يتم تسجيلها.
بعض هذه الثغرات لم يتم إصلاحها لأكثر من ثماني سنوات، مما ترك البيئات السحابية عرضة للمهاجمين المتمرسين. وقد حدد باحثون أمنيون من شركة Oligo Security هذه الثغرات بالتعاون مع Amazon Web Services (AWS) من خلال عملية الإبلاغ المنسق عن الثغرات.
توضح الأبحاث كيف يمكن لنقاط الضعف في مكونات البنية التحتية الأساسية أن تمكن سلاسل هجوم متطورة تؤثر على ملايين التطبيقات حول العالم. أجرى محللو Oligo Security تقييمات أمنية شاملة لمكونات الإدخال والإخراج (plugins) في Fluent Bit، مما أدى إلى اكتشاف هذه الثغرات.
التفاصيل الفنية للثغرات
تتضمن الثغرات المكتشفة نقاط ضعف في آليات المصادقة، والتحقق من صحة المدخلات، ومعالجة المخازن المؤقتة (buffer handling). وقد أدت هذه النتائج إلى تنسيق فوري مع AWS ومسؤولي Fluent Bit، مما أسفر عن إصلاحات تم إصدارها في الإصدار 4.1.1.
CVE-2025-12972: ثغرة تجاوز المسار والكتابة على الملفات
تعد ثغرة CVE-2025-12972 من أخطر الثغرات في هذه السلسلة. يقوم مكون الإخراج للملفات (out_file plugin) في Fluent Bit بكتابة السجلات مباشرة إلى نظام الملفات باستخدام معلمتين للتكوين: Path وFile. في العديد من التكوينات الشائعة، يتم استخدام معلمة Path فقط ويتم اشتقاق أسماء الملفات من علامات السجلات (record tags).
ومع ذلك، يفشل المكون في تنقية هذه العلامات قبل بناء مسارات الملفات. يمكن للمهاجمين إدخال تسلسلات تجاوز المسار (مثل “../”) داخل قيم العلامات للهروب من الدليل المقصود والكتابة إلى أي مكان على نظام الملفات. بما أن المهاجمين يمكنهم التحكم جزئيًا في البيانات المكتوبة إلى هذه الملفات عبر التلاعب بمحتوى السجلات، يمكنهم إنشاء ملفات تكوين خبيثة، أو نصوص برمجية، أو ملفات قابلة للتنفيذ في مواقع حرجة للنظام.
عند تشغيل Fluent Bit بصلاحيات مرتفعة، يؤدي ذلك إلى تنفيذ تعليمات برمجية عن بعد. تصبح الثغرة قابلة للاستغلال بسهولة عند تكوين مدخل HTTP مع إعدادات Tag_Key وعدم وجود معلمة File صريحة في إخراج الملف. التكوينات التي تستخدم مدخل forward مع إخراج للملف تكون عرضة للخطر بنفس القدر، مما يمكّن المهاجمين غير المصادق عليهم من حقن علامات خبيثة وكتابة ملفات عشوائية.
ثغرات أخرى
تشمل الثغرات الأخرى تجاوز سعة المخزن المؤقت (Stack Buffer Overflow) في مكون in_docker، ومقارنة جزئية للسلاسل النصية (Partial String Comparison) في مدخلات HTTP/Splunk/Elasticsearch، والتحقق غير السليم من المدخلات (Improper Input Validation) في نفس المكونات، بالإضافة إلى غياب المصادقة (Missing Authentication) في مدخل in_forward.
التوصيات والإجراءات الوقائية
يعتبر التحديث الفوري إلى الإصدار 4.1.1 أو 4.0.12 أمراً حاسماً لجميع المؤسسات التي تستخدم Fluent Bit. يجب على المؤسسات إعطاء الأولوية لتحديث عمليات الإنتاج وتطبيق تغييرات في التكوين لتقليل مدى التعرض للهجوم. يمكّن استخدام علامات ثابتة ومحددة مسبقاً من منع المدخلات غير الموثوق بها من التأثير على التوجيه وعمليات الملفات.
يساعد تعيين معلمات Path وFile صريحة في تكوينات الإخراج على منع البناء الديناميكي للمسارات بناءً على العلامات. إن تشغيل Fluent Bit بصلاحيات غير جذرية (non-root privileges) وملفات تكوين مثبتة للقراءة فقط يقلل بشكل كبير من تأثير الاستغلال الناجح.
لقد قامت AWS بالفعل بتأمين أنظمتها الداخلية وتوصي جميع العملاء بالترقية فوراً. يعتبر المجتمع الأمني هذه الثغرات دليلاً على التحديات النظامية في الإبلاغ عن أمن المصادر المفتوحة، حيث غالباً ما تعتمد المكونات الأساسية للبنية التحتية على مسؤولي صيانة متطوعين بموارد محدودة لمعالجة التقارير الأمنية المنسقة.