Pesquisadores de cibersegurança descobriram uma falha de segurança crítica em um utilitário popular de log e métricas chamado Fluent Bit que poderia ser explorada para causar negação de serviço (DoS), divulgação de informações ou execução de código remoto.

A vulnerabilidade, rastreada como CVE-2024-4323, foi apelidada de Lenhador Linguístico pela Tenable Research. Ela afeta versões de 2.0.7 a 3.0.3, com correções disponíveis na versão 3.0.4.

O problema está relacionado a um caso de corrupção de memória no servidor HTTP embutido do Fluent Bit que poderia permitir DoS, vazamento de informações ou execução de código remoto.

Especificamente, está relacionado ao envio de solicitações maliciosamente elaboradas para a API de monitoramento por meio de endpoints como /api/v1/traces e /api/v1/trace.

“Independentemente de as pistas estarem configuradas ou não, ainda é possível para qualquer usuário com acesso a este endpoint da API consultá-lo”, disse o pesquisador de segurança Jimi Sebree.

“Durante a análise de solicitações recebidas para o endpoint /api/v1/traces, os tipos de dados dos nomes de entrada não são validados corretamente antes de serem analisados.”

Por padrão, os tipos de dados são assumidos como strings (ou seja, MSGPACK_OBJECT_STR), o que um ator mal-intencionado poderia explorar passando valores não-strings, levando à corrupção de memória.

A Tenable afirmou que foi capaz de explorar de forma confiável o problema para encerrar o serviço e causar uma condição de DoS. A execução de código remoto, por outro lado, depende de uma variedade de fatores ambientais, como a arquitetura do host e o sistema operacional.

Os usuários são recomendados a atualizarem para a versão mais recente para mitigar possíveis ameaças de segurança, especialmente dado que um exploit de prova de conceito (PoC) foi disponibilizado para a falha.