Fluent Bit セキュリティの脆弱性

広く導入されているオープンソースのテレメトリエージェントであるFluent Bitにおいて、調査の結果、5つの深刻なセキュリティ問題が明らかになりました。これらの脆弱性が連鎖的に発生すると、脅威アクターはクラウド資産の制御権を掌握したり、ログの整合性を妨害したり、クラウドおよびKubernetes環境全体のサービス可用性を阻害したりするための複数の経路を利用できるようになります。

攻撃者が脆弱性を悪用する方法

発見された欠陥は、認証バイパス、ファイル操作、リモートコード実行、サービス中断、タグ改ざんといった攻撃への道を開く可能性があります。これらの欠陥が武器化されれば、侵入者はログを改ざんし、悪意のあるアクティビティを隠蔽し、偽造されたテレメトリを注入し、クラウドインフラにさらに深く侵入することが可能になります。

特定されたCVEの内訳

次の脆弱性は、Fluent Bit が信頼できない入力を処理する場合に攻撃対象領域がどれだけ広くなるかを示しています。

• CVE-2025-12972 – ファイル名の生成にサニタイズされていないタグ値を使用することで発生するパストラバーサルの脆弱性。これにより、任意のファイル書き込み、ログ改ざん、および潜在的なコード実行の危険性が高まります。
• CVE‑2025‑12970 – Docker Metrics 入力プラグイン (in_docker) におけるスタックバッファオーバーフロー。コンテナ名が長すぎると、クラッシュが発生したり、リモートコード実行が発生する可能性があります。
• CVE‑2025‑12978 – タグ マッチングにおける論理的な欠陥により、Tag_Key の最初の文字のみを推測することで信頼できるタグを偽装でき、攻撃者がログを再ルーティングしたり、フィルタリングを回避したり、操作されたレコードを挿入したりできるようになります。
• CVE-2025-12977 – 攻撃者が制御するフィールドから派生したタグの不適切な検証。悪意のある入力により、トラバーサルシーケンス、改行、または制御文字が挿入され、下流のログパイプラインが破損する可能性があります。
• CVE-2025-12969 – Forwardプロトコル経由で通信するFluent Bitインスタンスが使用するin_forwardプラグインに認証が欠落しています。この不備により、偽造ログの挿入や、偽造イベントによる下流のセキュリティツールへのフラッディングが可能になります。

クラウド運用への潜在的な影響

これらの脆弱性は、Fluent Bitによるテレメトリデータの収集、処理、保存方法に広範な影響を及ぼす可能性があります。攻撃者は、重要なイベントをリダイレクトまたは抑制したり、誤解を招く情報を仕込んだり、侵入の兆候を消去したり、ログを操作して悪意のあるコードを実行させたりする可能性があります。Fluent Bitは広く普及しているため、これらのリスクは企業のクラウド環境の信頼性とログ記録インフラストラクチャの信頼性を脅かします。

パッチとベンダーガイダンス

これらの問題は協調的な情報開示を受けて解決され、2025年10月にリリースされたFluent Bitバージョン4.1.1および4.0.12で修正が提供されました。情報開示プロセスにも参加したAWSは、Fluent Bitを使用しているすべての顧客に対し、保護を維持するために速やかに更新することを推奨しています。

セキュリティに関する推奨事項

専門家は、リスクを軽減し、監視パイプラインを強化するために、設定を強化し、攻撃対象領域を制限することを推奨しています。主な防御策は次のとおりです。

ルーティングに動的タグを使用することは避け、タグ駆動型パスの拡張やトラバーサルを防ぐために出力パスを制限します。

/fluent-bit/etc/ などの構成ディレクトリを読み取り専用としてマウントし、ランタイム操作をブロックして、非ルート アカウントで Fluent Bit を実行します。

以前の発見からの文脈

今回の開示は、1年以上前に報告されたFluent Bitの脆弱性（CVE-2024-4323、別名Linguistic Lumberjack）に続くものです。この脆弱性はエージェントの組み込みHTTPサーバーに影響を及ぼし、インスタンスをDoS攻撃、データ漏洩、またはリモートコード実行の危険にさらしていました。新たに特定された問題は、クラウドの可観測性の基盤となるテレメトリツールのセキュリティ確保が依然として重要であることを改めて浮き彫りにしています。