Selon Oligo Security (billet de blog, 25/11/2025), une chaîne de cinq vulnérabilités critiques affecte Fluent Bit, l’agent de télémétrie massivement déployé, avec divulgation coordonnée avec AWS. Les failles permettent de contourner l’authentification, manipuler les tags, écrire des fichiers arbitraires (traversée de répertoires), provoquer des crashs et exécuter du code à distance.

Fluent Bit est omniprésent (plus de 15 milliards de déploiements, plus de 4 millions de pulls sur la dernière semaine) dans des environnements variés (AI, banques, constructeurs automobiles, AWS/GCP/Azure). Sa position au cœur des pipelines d’observabilité rend toute faille de parsing, templating ou gestion de fichiers particulièrement impactante pour les infrastructures cloud et Kubernetes.

Principales vulnérabilités publiées:

  • CVE-2025-12972 (Path traversal/RCE): des valeurs de Tag non assainies servent à générer les noms de fichiers de sortie; l’injection de « ../ » permet d’écrire/surécrire des fichiers arbitraires, menant à la manipulation de logs et souvent à de la RCE (notamment avec out_file sans clé File et Tag contrôlable via Tag_Key).
  • CVE-2025-12970 (Stack buffer overflow – in_docker): un dépassement de tampon dans l’input Docker (noms de conteneurs trop longs) permet crash ou exécution de code et donne le contrôle de l’agent.
  • CVE-2025-12978 (Usurpation de tag – Tag_Key): comparaison partielle du Tag_Key (premier caractère) permettant de spoof les tags, détourner le routing, contourner des filtres et injecter des enregistrements malveillants.
  • CVE-2025-12977 (Validation insuffisante – Tag_Key): les tags dérivés des champs via tag_key contournent la sanitisation, autorisant sauts de ligne, séquences « ../ », caractères de contrôle, entraînant corruption de logs et attaques sur les sorties.
  • CVE-2025-12969 (Bypass d’authentification – in_forward): avec Security.Users seul (sans Shared_Key), l’input forward n’applique pas l’authentification, permettant l’envoi non autorisé de logs et l’injection de fausses télémétries.

Impact et surface d’attaque:

  • Chaîne permettant contournement d’authentification, traversée de répertoires, RCE, DoS, détournement de routage et altération/effacement des logs. Les attaquants peuvent perturber des services cloud, prendre le contrôle du service de logging, injecter des télémétries trompeuses et masquer leurs traces. Certaines failles (ex. CVE-2025-12972) exposent des environnements depuis 8 ans.

TTPs et composants affectés:

  • TTPs: usurpation de tag, injection/corruption de logs, path traversal file write, buffer overflow, contournement d’authentification, RCE, DoS.
  • Entrées/Plugins affectés: HTTP, Splunk, Elasticsearch (Tag_Key); forward (Security.Users sans Shared_Key); in_docker (Docker Metrics); out_file (nommage par Tag sans clé File). Configurations vulnérables typiques: Tag contrôlable + sortie fichier sans File; forward avec Security.Users seul.

Type d’article: publication de recherche visant à exposer les vulnérabilités de Fluent Bit, leur impact et les configurations à risque, avec indications de contexte, d’impact, de détection et de remédiation.

🧠 TTPs et IOCs détectés

TTP

usurpation de tag, injection/corruption de logs, path traversal file write, buffer overflow, contournement d’authentification, RCE, DoS

IOC

Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse technique fournie.

🔗 Source originale : https://www.oligo.security/blog/critical-vulnerabilities-in-fluent-bit-expose-cloud-environments-to-remote-takeover