Schwachstellen in Fluent Bit gefährdeten US-Cloud-Instanzen

Veröffentlicht am 30. November 2025 von Günter Born

Cloud-Anbieter wie AWS, Microsoft oder Google verwenden die Open Source-Software Fluent Bit zur Erfassung von Telemetriedaten (Monitoring). Gleich fünf Schwachstellen in dieser Software hätten die Remote-Übernahme von Containern, die auf den entsprechenden Cloud-Instanzen gehostet wurden, ermöglichet. Nutzer sollten die Software dringend aktualisieren.

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)

Fluent Bit ist ein als Open Source-Software verfügbarer, schneller und ressourcenschonender Telemetrie-Agent für Protokolle, Metriken und Traces für Linux, macOS, Windows und Betriebssysteme der BSD-Familie. Das System ist faktisch überall im Einsatz: in KI-Labors, Banken, Automobilherstellern, allen großen Cloud-Anbietern wie AWS, Google Cloud und Microsoft Azure und vielen mehr.

Die Software ist in Milliarden von Containern eingebettet und wurde mehr als 15 Milliarden Mal (allein in der letzten Woche über 4 Millionen Mal) eingesetzt, schreibt der Sicherheitsanbieter Oligo. Versagt eine so weit verbreitete und vertrauenswürdige Komponente, bedroht die Stabilität und Sicherheit des Cloud-Ökosystems.

Ein Sicherheits-Desaster am Horizont

In einem Beitrag vom 24. November 2025 beschreiben (via) die Oligo Security-Forschungsteams detailliert fünf neu bekannt gewordenen Schwachstellen. Diese hätten es Angreifern ermöglichen, die Authentifizierung zu umgehen, Pfadüberquerungen durchzuführen, Remote-Code auszuführen, Denial-of-Service-Bedingungen zu verursachen und Tags zu manipulieren.

Die Schwachstellen schaffen Angriffswege für Angreifer, um Cloud-Dienste zu stören, Daten zu manipulieren und tieferen Zugriff auf dieselbe Cloud- und Kubernetes-Infrastruktur zu erlangen. Konkret heißt dies, dass ein Angreifer über diese Schwachstellen nicht nur Cloud-Dienste stören und Daten manipulieren, sondern auch den Protokollierungsdienst selbst übernehmen könnte.

Ein Angreifer könnte tiefer in eine Cloud-Umgebung eindringen, um über Fluent Bit bösartigen Code auszuführen. Gleichzeitig könnte er festlegen, welche Ereignisse aufgezeichnet werden, belastende Einträge löschen oder überschreiben. Das System wäre praktisch blind, da der Angreifer seine Spuren nach einem Angriff zu verwischen, und gefälschte Telemetriedaten übermitteln könnte, um die Sicherheitsteams in die Irre zu führen.

Schwachstellen seit 8 Jahren ausnutzbar

Die Analyse der Schwachstellen hat ergeben, dass einige dieser Schwachstellen, wie beispielsweise CVE 2025-12972, Cloud-Umgebungen seit über 8 Jahren angreifbar machen. Oligo hat die nachfolgenden Schwachstellen in Zusammenarbeit mit AWS im Rahmen des koordinierten Schwachstellenoffenlegungsprozesses bekannt gegeben.

  • CVE-2025-12972: Unsanitized tag values are used to generate output filenames, allowing attackers to inject path-traversal sequences like "../" to write or overwrite arbitrary files on disk, enabling log tampering and, in many configurations, full remote code execution.
  • CVE-2025-12970: A stack buffer overflow in the Docker input enables attackers to trigger crashes or execute code by creating containers with excessively long names, giving them control over the Fluent Bit agent on the host.
  • CVE-2025-12978: A flaw in Fluent Bit's tag-matching logic lets attackers spoof trusted tags by guessing only the first character of a Tag_Key, enabling them to reroute logs, bypass filters, and inject malicious or misleading records.
  • CVE-2025-12977: Tags derived from user-controlled fields bypass sanitization, allowing attackers to inject newlines, traversal sequences, and control characters that corrupt downstream logs or enable broader output-based attacks.
  • CVE-2025-12969: Fluent Bit forwarders configured with Security.Users silently disable authentication, allowing remote attackers to send logs, inject false telemetry, or flood detection systems despite appearing secured.

AWS schreibt, dass ihnen der obige Blogbeitrag von Oligo Security mit den obigen CVEs CVE-2025-12969, CVE-2025-12970, CVE-2025-12972, CVE-2025-12977 und CVE-2025-12978 bekannt sei. AWS hat alle internen Systeme, die auf Fluentbit basieren, über das Fluentbit-Projekt gesichert und Fluentbit Version 4.1.1 veröffentlicht. Es wird allen Kunden, die Fluentbit als Workload ausführen, empfohlen, ein Upgrade auf die neueste Version v4.1.1 (siehe hier und hier) durchzuführen.

Dieser Beitrag wurde unter Cloud, Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Schwachstellen in Fluent Bit gefährdeten US-Cloud-Instanzen

  1. Tomas Jakobs sagt:
    30. November 2025 um 11:01 Uhr

    Tja aus genau diesem Grund sollte man seine OCI Container immer selbst bauen und seine Stacks kennenund keinen fertigen Kram von anderen übernehmen. Mit eigenem Monitoring und aktuellen Versionen. In Podman und nicht in Docker.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.