Imagen Principal

Investigadores de seguridad de Oligo Security han descubierto cinco vulnerabilidades en Fluent Bit, un agente de telemetría ligero y de código abierto, que podrían encadenarse para comprometer y tomar el control de infraestructuras en la nube.

Fluent Bit es ampliamente utilizado en entornos empresariales, y la explotación exitosa de estas fallas podría permitir a los atacantes interrumpir servicios en la nube, manipular datos y profundizar en infraestructuras de Kubernetes y la nube.

Detalles de las Vulnerabilidades

Los defectos de seguridad identificados permiten a los atacantes evadir la autenticación, realizar recorrido de ruta (path traversal), lograr ejecución remota de código (RCE), causar condiciones de denegación de servicio (DoS) y manipular etiquetas. A continuación, se detallan las cinco vulnerabilidades:

  • CVE-2025-12972 (Path Traversal): Esta vulnerabilidad se origina por el uso de valores de etiqueta no saneados para generar nombres de archivo de salida. Permite a los atacantes escribir o sobrescribir archivos arbitrarios en el disco, posibilitando la manipulación de registros y la ejecución remota de código.
  • CVE-2025-12970 (Stack Buffer Overflow): Un desbordamiento de búfer en pila en el plugin de entrada Docker Metrics (in_docker). Los atacantes pueden provocar la ejecución de código o bloquear el agente creando contenedores con nombres excesivamente largos.
  • CVE-2025-12978 (Spoofing de Etiquetas): Una falla en la lógica de coincidencia de etiquetas permite a los atacantes suplantar etiquetas de confianza (asignadas a cada evento ingerido por Fluent Bit) adivinando solo el primer carácter de un Tag_Key. Esto posibilita redirigir registros, eludir filtros e inyectar registros maliciosos o engañosos bajo etiquetas de confianza.
  • CVE-2025-12977 (Validación de Entrada Impropia): Una validación de entrada deficiente en las etiquetas derivadas de campos controlados por el usuario permite a un atacante inyectar nuevas líneas, secuencias de recorrido y caracteres de control que pueden corromper los registros posteriores.
  • CVE-2025-12969 (Autenticación Faltante): Falta la autenticación security.users en el plugin in_forward, utilizado para recibir registros de otras instancias de Fluent Bit mediante el protocolo Forward. Esto permite a los atacantes enviar registros, inyectar telemetría falsa e inundar los registros de productos de seguridad con eventos falsos.

Impacto y Consecuencias

Los investigadores advierten que la magnitud del control que estas vulnerabilidades otorgan a un atacante es significativa. Un atacante podría penetrar profundamente en un entorno en la nube para ejecutar código malicioso a través de Fluent Bit. Además, podrían dictar qué eventos se registran, borrar o reescribir entradas incriminatorias para ocultar sus rastros después de un ataque, e inyectar telemetría falsa o eventos plausibles falsos para desorientar a los equipos de respuesta.

El CERT Coordination Center (CERT/CC) también emitió una advertencia independiente, señalando que muchas de estas vulnerabilidades requieren que el atacante tenga acceso a la red de una instancia de Fluent Bit.

Mitigación y Recomendaciones

Tras la divulgación responsable, las vulnerabilidades han sido corregidas en las versiones 4.1.1 y 4.0.12, lanzadas el mes pasado. Amazon Web Services (AWS), que participó en la divulgación coordinada, ha instado a los clientes que utilizan Fluent Bit a actualizar a la última versión para obtener una protección óptima.

Otras acciones recomendadas incluyen:

  • Evitar el uso de etiquetas dinámicas para el enrutamiento.
  • Bloquear las rutas y destinos de salida para evitar la expansión o el recorrido de rutas basadas en etiquetas.
  • Montar los archivos de configuración y /fluent-bit/etc/ como solo lectura para impedir la manipulación en tiempo de ejecución.
  • Ejecutar el servicio como usuarios no root.

Conclusión

Este descubrimiento subraya la importancia de mantener actualizado el software de infraestructura crítica. Cabe destacar que hace poco más de un año, Tenable detalló otra vulnerabilidad en el servidor HTTP incorporado de Fluent Bit (CVE-2024-4323, también conocida como “Linguistic Lumberjack”) que podía explotarse para lograr DoS, divulgación de información o RCE, reforzando la necesidad de una vigilancia continua en este tipo de agentes de telemetría.

Referencias

  • CVE-2025-12972
  • CVE-2025-12970
  • CVE-2025-12978
  • CVE-2025-12977
  • CVE-2025-12969
  • CVE-2024-4323 (Linguistic Lumberjack)