Recentemente, i ricercatori di Tenable hanno segnalato una vulnerabilità critica che coinvolge Fluent Bit, una delle soluzioni di logging e metriche più diffuse al mondo: identificata come CVE-2024-4323 e soprannominata “Linguistic Lumberjack“, potrebbe mettere a rischio quasi tutti i principali fornitori di servizi cloud, tra cui Amazon AWS, Google GCP e Microsoft Azure.

Fluent Bit, che ha visto oltre 13 miliardi di download e distribuzioni fino a marzo 2024, è integrato in molte delle principali distribuzioni Kubernetes. La sua popolarità non si ferma qui: è utilizzato anche da importanti società di sicurezza informatica come Crowdstrike e Trend Micro, oltre che da giganti tecnologici quali Cisco, VMware, Intel, Adobe e Dell.

La vulnerabilità Linguistic Lumberjack

La falla, presente dalla versione 2.0.7 di Fluent Bit, è causata da un problema di buffer overflow su heap durante l’analisi delle richieste da parte del server HTTP integrato del software.

Questa vulnerabilità di danneggiamento della memoria può essere sfruttata da aggressori non autenticati per causare attacchi di Denial of Service (DoS) o per ottenere informazioni sensibili da remoto.

In condizioni specifiche, e con il tempo necessario, potrebbe essere utilizzata anche per eseguire codice da remoto (RCE).

I ricercatori di Tenable sottolineano che i rischi immediati più rilevanti sono legati alla possibilità di attacchi DoS e alla fuga di informazioni.

La vulnerabilità è stata notificata al team di sviluppo di Fluent Bit il 30 aprile, e le correzioni sono state integrate nel ramo master del progetto il 15 maggio. Il rilascio ufficiale delle patch è previsto con la versione 3.0.4, i cui pacchetti Linux sono già disponibili su GitHub.

Misure di mitigazione

In attesa del rilascio ufficiale delle patch per tutte le piattaforme interessate, si consiglia ai clienti di adottare misure immediate per mitigare i rischi. Le azioni raccomandate includono la limitazione dell’accesso all’API di monitoraggio di Fluent Bit solo agli utenti e servizi autorizzati, oppure la disabilitazione completa dell’endpoint API vulnerabile.

Microsoft, Amazon e Google sono stati informati della vulnerabilità e stanno collaborando per garantire la sicurezza delle loro piattaforme. La pronta risposta delle aziende coinvolte è cruciale per evitare potenziali attacchi su larga scala.

La scoperta della vulnerabilità “Linguistic Lumberjack” mette in luce ancora una volta l’importanza della sicurezza nelle soluzioni di logging e metriche, soprattutto in un contesto cloud in cui la scalabilità e la diffusione dei servizi possono amplificare i rischi.

Gli utenti di Fluent Bit sono invitati a monitorare gli aggiornamenti e ad applicare le patch non appena disponibili per garantire la protezione dei propri sistemi.