クラウドログツールFluent Bitに深刻な脆弱性、主要プラットフォームに影響

2024年5月21日8:25

Last Updated on 2024-07-11 06:56 by admin

研究者たちは、主要なクラウドプラットフォーム全体で使用されているクラウドログ記録ユーティリティ内に深刻なメモリ破損の脆弱性を発見した。このサービスはFluent Bitと呼ばれ、オープンソースのツールで、ログやその他のアプリケーションデータの収集、処理、転送を行う。2022年時点で30億回以上ダウンロードされ、毎日約1000万の新しいデプロイメントが行われている。VMware、Cisco、Adobe、Walmart、LinkedInを含む主要な組織や、AWS、Microsoft、Google Cloudを含むほぼすべての主要なクラウドサービスプロバイダーに使用されている。

このFluent Bitの問題は、サービスの組み込みHTTPサーバーがトレースリクエストを解析する方法に関する監視不足により、クラウド環境でのサービス拒否（DoS）、データ漏洩、またはリモートコード実行（RCE）を引き起こす可能性がある。Tenableによる新しい報告書で「Linguistic Lumberjack」と名付けられたこの問題は、特定のエンドポイント（/api/v1/traces）で入力名として渡されるデータの種類がプログラムによって解析される前に適切に検証されていなかったため、攻撃者が非文字列値を渡すことでFluent Bit内でさまざまなメモリ破損問題を引き起こす可能性がある。

この脆弱性はFluent Bitのバージョン2.0.7から3.0.3に存在し、CVE-2024-4323として追跡されており、9.5以上の「重大」CVSSスコアが付けられている。4月30日に報告された後、Fluent Bitのメンテナーは問題のあるエンドポイントの入力フィールドでデータタイプを適切に検証するようにサービスを更新した。この修正は5月15日にGitHubのプロジェクトのメインブランチに適用された。

Fluent Bitを自身のインフラストラクチャや環境にデプロイしている組織は、できるだけ早く更新することが推奨される。また、Tenableは、Fluent Bitの監視APIに関連する設定を確認し、認証されたユーザーやサービスのみがそれをクエリできるようにするか、あるいはユーザーやサービスが全くクエリできないようにすることを提案している。

【ニュース解説】

主要なクラウドプラットフォームを対象とした、深刻なセキュリティ脆弱性が発見されました。この脆弱性は、Fluent Bitという広く使用されているクラウドログ記録ユーティリティ内に存在し、サービス拒否（DoS）、データ漏洩、リモートコード実行（RCE）を引き起こす可能性があります。Fluent Bitはオープンソースのツールで、ログやその他のアプリケーションデータの収集、処理、転送を行うものです。このツールは、VMware、Cisco、Adobe、Walmart、LinkedInを含む主要な組織や、AWS、Microsoft、Google Cloudを含むほぼすべての主要なクラウドサービスプロバイダーに使用されています。

この問題は、「Linguistic Lumberjack」と名付けられ、特定のエンドポイント（/api/v1/traces）で入力名として渡されるデータの種類が適切に検証されていないことが原因で発生します。攻撃者が非文字列値を渡すことで、Fluent Bit内でメモリ破損問題を引き起こし、それによりDoS、データ漏洩、またはRCEが発生する可能性があります。

この脆弱性は、Fluent Bitのバージョン2.0.7から3.0.3に存在し、CVE-2024-4323として追跡されています。この問題は「重大」と評価され、CVSSスコアは9.5以上とされています。報告を受けたFluent Bitのメンテナーは、問題のあるエンドポイントの入力フィールドでデータタイプを適切に検証するようにサービスを更新しました。

この発見は、クラウドサービスのセキュリティにおいて、単一のサービスやプラットフォームだけでなく、それらを構成するコア技術や共通のソフトウェアコンポーネントにも注意を払う必要があることを示しています。また、組織は、使用しているソフトウェアの最新のセキュリティパッチを適用し、適切な設定を行うことで、このような脆弱性から保護することが可能です。

この脆弱性の発見と修正は、クラウド環境のセキュリティを強化する上で重要な一歩ですが、攻撃者が新たな脆弱性を見つけ出す可能性は常に存在します。そのため、組織は継続的な監視、評価、対策の実施を通じて、セキュリティ対策を強化し続ける必要があります。また、このような脆弱性の発見は、オープンソースソフトウェアのセキュリティに対する意識を高め、より安全なクラウド環境の構築に貢献することが期待されます。

from Critical Bug Allows DoS, RCE, Data Leaks in All Major Cloud Platforms.