Découverte d’un bug critique dans l’utilitaire open source Fluent Bit

Tenable a divulgué lundi « Linguistic Lumberjack », une vulnérabilité critique de corruption de mémoire dans Fluent Bit, un utilitaire de journalisation open source populaire utilisé par de nombreux fournisseurs de cloud.

Le bug, répertorié sous le code CVE-2024-4323, est une vulnérabilité de corruption de mémoire présente dans les versions 2.0.7 à 3.0.3 de Fluent Bit. La faille est causée par un problème de validation du serveur HTTP intégré au logiciel, ce qui peut entraîner des attaques par déni de service, la divulgation d’informations ou l’exécution de code à distance. Jimi Sebree, ingénieur de recherche senior chez Tenable, explique dans un billet de blog que l’éditeur de cybersécurité a signalé la faille aux responsables du projet le 30 avril, et que les correctifs engagés le 15 mai devraient être présents dans la version 3.0.4 de Fluent Bit.

Il note également que Fluent Bit est utilisé par de nombreux fournisseurs majeurs de services cloud, et qu’il « s’enorgueillit de plus de 3 milliards de téléchargements en 2022 et continue de voir plus de 10 millions de déploiements chaque jour ». Selon lui Tenable recherchait une vulnérabilité non divulguée liée à un service cloud anonyme, lorsqu’elle est tombée sur Linguistic Lumberjack.

« Les chercheurs de Tenable ont découvert qu’ils étaient en mesure d’accéder à une variété de métriques et de points d’extrémité de journalisation internes permettant d’aller vers le service cloud lui-même. Parmi ces points de terminaison se trouvait un certain nombre d’instances Fluent Bit », écrit Jimi Sebree. « L’accès à ces points de terminaison pourrait à lui seul entraîner une fuite d’informations entre locataires, mais après avoir testé Fluent Bit dans un environnement séparé et isolé, les chercheurs sont tombés sur le problème de corruption de mémoire décrit ici. »

Jimi Sebree précise que l’API de surveillance de Fluent Bit est conçue pour permettre aux utilisateurs d’interroger et de surveiller les informations liées au service interne, telles que le temps de fonctionnement du service et les contrôles de santé. Cependant, deux des points d’extrémité de l’API – /api/v1/traces et /api/v1/trace – permettent aux utilisateurs d’obtenir des informations sur les traces configurées. Les chercheurs de Tenable ont constaté que toute personne ayant accès aux points d’extrémité de l’API pouvait l’interroger, que les traces aient été configurées ou non.

« Dans leur environnement de laboratoire, les chercheurs ont pu exploiter ce problème de manière fiable pour bloquer le service et provoquer un déni de service », détaille Jimi Sebree. « Ils ont également pu récupérer des morceaux de la mémoire adjacente, qui sont renvoyés dans les réponses HTTP. »

En outre, les chercheurs ont pu récupérer des « secrets partiels » pendant les tests, ce qui indique que CVE-2024-4323 pourrait être exploité et entraîner la fuite de données sensibles.

Interrogé par courriel, Jimi Sebree a déclaré à nos confrères américains de TechTarget (maison mère du MagIT) que toute personne ayant accès à un point de terminaison vulnérable « pourrait facilement initier un déni de service ou une divulgation d’informations ». Cependant, « l’exécution de code à distance dépend de nombreux autres facteurs extérieurs à l’application Fluent Bit, tels que l’architecture de l’hôte et le système d’exploitation, ce qui rend l’opération plus difficile à réaliser ».

Un correctif est actuellement disponible sur la page GitHub du projet. Tenable a conseillé aux organisations vulnérables à la faille Fluent Bit de se mettre à jour immédiatement ou de configurer leurs environnements de manière appropriée, afin de limiter les requêtes aux utilisateurs et services autorisés. En outre, Jimi Sebree estime que « Si vous vous appuyez sur des services cloud connus pour utiliser Fluent Bit, nous recommandons de contacter votre fournisseur et de vous assurer que les mises à jour ou les atténuations ont été déployées en temps opportun. »

Tenable a informé Microsoft, Amazon et Google du problème le 15 mai, « afin qu’ils puissent entamer leur processus de triage interne », selon le billet de blog.

Contactées pour plus d'informations, ces entreprises n’ont pour l’heure pas répondu, à l'heure de la publication.