كشف باحثون في مجال الأمن السيبراني عن خمس ثغرات خطيرة في أداة Fluent Bit، وهي وكيل مفتوح المصدر وخفيف الوزن لجمع البيانات عن الأنظمة، يمكن استغلالها بشكل متسلسل لاختراق البنية التحتية السحابية وتنفيذ شيفرات خبيثة عن بُعد.
ثغرات متعددة تفتح الباب أمام التلاعب والتخريب
بحسب تقرير صادر عن شركة Oligo Security، فإن هذه الثغرات تتيح للمهاجمين تجاوز المصادقة، والتنقل عبر المسارات، وتنفيذ شيفرات عن بُعد، والتسبب في حالات تعطيل الخدمة، والتلاعب بالعلامات (Tags). وقد تم توثيق هذه الثغرات تحت الرموز التالية:
– CVE-2025-12972: ثغرة في التحقق من المسارات تتيح كتابة ملفات عشوائية على القرص باستخدام قيم علامات غير مصفّاة، مما يسمح بالتلاعب بالسجلات وتنفيذ شيفرات خبيثة.
– CVE-2025-12970: ثغرة تجاوز سعة المخزن المؤقت في مكون Docker Metrics، يمكن استغلالها عبر إنشاء حاويات بأسماء طويلة جداً تؤدي إلى انهيار الأداة أو تنفيذ شيفرات.
– CVE-2025-12978: خلل في منطق مطابقة العلامات يسمح بانتحال علامات موثوقة عبر تخمين الحرف الأول فقط، مما يتيح إعادة توجيه السجلات وتجاوز المرشحات.
– CVE-2025-12977: ضعف في التحقق من مدخلات العلامات يتيح إدخال رموز تحكم وتسلسلات تنقل تؤدي إلى تلف السجلات النهائية.
– CVE-2025-12969: غياب المصادقة في مكون in_forward، مما يسمح بإرسال سجلات مزيفة أو إغراق النظام بأحداث وهمية.
تأثيرات عميقة على بيئات Kubernetes والسحابة
أوضحت CERT/CC أن هذه الثغرات تتطلب وصولاً شبكياً إلى مثيل Fluent Bit، لكنها تتيح تنفيذ شيفرات خبيثة، تجاوز المصادقة، وتعطيل الخدمات. ويؤكد الباحثون أن هذه الثغرات تمنح المهاجمين قدرة غير مسبوقة على التحكم في الأحداث المسجلة، حذف أو تعديل الأدلة، وحقن بيانات وهمية لتضليل فرق الاستجابة للحوادث.
تحديثات أمنية وتوصيات للحد من المخاطر
بعد الكشف المسؤول عن الثغرات، تم إصدار تحديثات أمنية في النسختين 4.1.1 و4.0.12 من Fluent Bit. كما دعت Amazon Web Services عملاءها إلى التحديث الفوري لضمان الحماية المثلى.
ومن بين التوصيات الأمنية:
– تجنب استخدام العلامات الديناميكية في التوجيه.
– تأمين مسارات الإخراج لمنع التلاعب عبر العلامات.
– تثبيت ملفات الإعدادات كقراءة فقط لمنع التعديل أثناء التشغيل.
– تشغيل الخدمة كمستخدم غير جذر لتقليل الأضرار المحتملة.
خلفية تاريخية: ثغرات سابقة في Fluent Bit
تأتي هذه التطورات بعد أكثر من عام على اكتشاف ثغرة “Linguistic Lumberjack” (CVE-2024-4323) في خادم HTTP المدمج في Fluent Bit، والتي كانت تتيح تنفيذ شيفرات خبيثة أو تعطيل الخدمة أو كشف معلومات حساسة.
