Bug Crítico Ameaça Plataformas de Nuvem com Ataques de DoS, Execução Remota de Código e Vazamento de Dados

A Vulnerabilidade em Fluent Bit

Pesquisadores descobriram uma vulnerabilidade grave de corrupção de memória no Fluent Bit, uma ferramenta de registro de dados na nuvem usada amplamente em importantes plataformas de nuvem. Fluent Bit é uma ferramenta open source empregada para coletar, processar e encaminhar registros e outros tipos de dados de aplicativos. Sua popularidade é evidenciada por mais de 3 bilhões de downloads até 2022, e é adotada por grandes organizações como VMware, Cisco, Adobe, Walmart e LinkedIn, além de quase todos os principais provedores de serviços em nuvem, incluindo AWS, Microsoft e Google Cloud.

O Problema com o Servidor HTTP Embutido

O problema identificado, apelidado de “Linguistic Lumberjack” em um relatório recente da Tenable, ocorre na forma como o servidor HTTP embutido do serviço processa solicitações de rastreamento. Manipulações podem levar a ataques de negação de serviço (DoS), vazamento de dados ou execução remota de código (RCE) no ambiente de nuvem.

Descoberta e Impacto

Os pesquisadores da Tenable, inicialmente investigando uma questão de segurança separada em um serviço de nuvem não divulgado, perceberam que algo inesperado estava acontecendo. Eles descobriram que podiam acessar uma ampla gama de métricas internas e pontos de extremidade de registro do provedor de serviços em nuvem (CSP), incluindo instâncias do Fluent Bit.

Essa fuga de dados entre locatários originou-se de pontos de extremidade na interface de programação de aplicativos (API) de monitoramento do Fluent Bit, projetada para permitir que os usuários consultem e monitorem seus dados internos. Após alguns testes, uma pequena fuga de dados revelou-se apenas a introdução a um problema mais profundo.

Explotando a Vulnerabilidade

Para um ponto de extremidade específico — /api/v1/traces — os tipos de dados passados como nomes de entrada não eram devidamente validados antes de serem analisados pelo programa. Assim, ao passar valores que não eram strings, um atacante poderia causar vários problemas de corrupção de memória no Fluent Bit. Os pesquisadores experimentaram uma variedade de valores inteiros positivos e negativos, em particular, para causar erros nos quais o serviço falharia e vazaria dados potencialmente sensíveis.

Os atacantes também poderiam usar essa mesma técnica para obter capacidades de execução remota de código em um ambiente alvo. No entanto, a Tenable observou que desenvolver tal exploit exigiria um bom esforço, sendo personalizado para o sistema operacional e arquitetura específicos do alvo.

• Expansão da Compatibilidade do Steam Deck Vindo Aí!
• Guia Assassin’s Creed Mirage: Como Completar a Missão Moeda, Corrupção e Chá
• Diablo 4 traz novas mecânicas e narrativas em nova Temporada
• CyFox Revela Vulnerabilidade em Stremio
• Atualize o Chrome Imediatamente: Google Lança Correção para Vulnerabilidade Zero-Day em Exploração Ativa

Medidas Recomendadas

O bug existe nas versões 2.0.7 a 3.0.3 do Fluent Bit e está sendo rastreado sob CVE-2024-4323, com pontuações CVSS “críticas” de mais de 9,5 em 10. Após o relato em 30 de abril, os mantenedores do Fluent Bit atualizaram o serviço para validar adequadamente os tipos de dados no campo de entrada do ponto de extremidade problemático. A correção foi aplicada ao ramo principal do projeto no GitHub em 15 de maio.

Recomenda-se que as organizações com Fluent Bit implantado em sua própria infraestrutura e ambientes atualizem o mais rápido possível. Como alternativa, a Tenable sugere que os administradores revisem quaisquer configurações relacionadas à API de monitoramento do Fluent Bit para garantir que apenas usuários e serviços autorizados possam consultá-la — ou mesmo nenhum usuário ou serviço.

Fonte: https://www.tenable.com/blog/linguistic-lumberjack-attacking-cloud-services-via-logging-endpoints-fluent-bit-cve-2024-4323