CVE-2024-4323 플루언트비트(Fluent Bit)의 링귀스틱럼버잭(Linguistic Lumberjack) 취약점

오늘의 신규 취약점은

클라우드 환경에서 많이 사용하는

Fluent Bit의 Linguistic Lumberjack 취약점 안내드리겠습니다.

 

출처: https://docs.fluentbit.io/manual

 

제가 온프레미스 환경을

주로 다루다 보니 클라우드 환경을 자주 접하지는 못했는데요

서비스부터 취약점까지 무슨 소리인가 싶은건 오랜만이네요

 

우선 서비스 부터 살펴보겠습니다.

 

플루언트비트(Fluent Bit)는 오픈소스 형태의 유틸로

로깅기능을 지원하는데, 많이들 아시는 ELK에서 

LogStatch 대신에 플루언트비트를 사용하여

EFK라고 합니다.

 

해당 솔루션의 장점은 대표적인 로깅 유틸

(LogStash, fluentd, fluentbit) 중에

10배 이상 가벼운 장점을 가지고 있어

쿠버네티스 구성시, 많이 사용됩니다.

 

파이프라인

 

그림과 같은 파이프라인으로 Log를

특정 목적지로 보내주는 기능을 가지고 있습니다.

 

그럼 이제 취약점에 대해서도 알아보겠습니다.

 

링귀스틱럼버잭(Linguistic Lumberjack) 취약점

직역하자면 언어적 벌목꾼이라고 하는데 

이건 취약점을 발견한 Tenable 보고서[5]에서 명명하였습니다.

 

취약 프로세스를 살펴보면

플루언트비트에서는

/api/v1/traces, /api/v1/trace 의 입력 데이터를 처리하는 과정에서

입력값에 대한 검증이 부족했고, 이를 통하여

플루언트비트 내장 웹 서버에 힙 버퍼 오버플로우가 발생

이를 통하여 DoS, 데이터 유출,

원격 코드 실행 등도 가능한 취약점입니다.

 

CVE	제품/서비스명	취약버전	양호버전
CVE-2024-4323	Fluent Bit	2.0.7~3.0.3 이하	3.0.4 이상

 

해당 취약점은 Tenable 에서 처음 발견[2]되었으며

위험도는 CVSS 9.8 입니다.

 

PoC는 아래 URL을 참고하시는걸 안내드립니다.[5]

 

플루언트비트는 Amazon AWS, Google GCP 및 Microsoft Azure의

주요 쿠버네티스 배포판에 적용되어 있는 경우가 많으므로

사용하는 회사나 사용자는 최대한 빠른 패치가 필요합니다.

 

 

[관련사이트]

[1] https://www.boannews.com/media/view.asp?idx=129955

[2] https://www.tenable.com/security/research/tra-2024-17

[3] https://github.com/fluent/fluent-bit/commit/9311b43a258352797af40749ab31a63c32acfd04

[4] https://fluentbit.io/blog/2024/05/21/statement-on-cve-2024-4323-and-its-fix/

[5] https://www.tenable.com/blog/linguistic-lumberjack-attacking-cloud-services-via-logging-endpoints-fluent-bit-cve-2024-4323