Los investigadores de ciberseguridad han revelado múltiples vulnerabilidades de seguridad críticas en el caos de malla que, si se explotan con éxito, podrían conducir a la adquisición de clúster en entornos de Kubernetes.
«Los atacantes solo necesitan ataque insignificante a la red en el clúster para explotar estas vulnerabilidades, ejecutar las inyecciones de fallas de la plataforma (como apagar las cápsulas o interrumpir las comunicaciones de la red) y realizar más acciones maliciosas, incluido el robo de tokens de cuentas de servicio privilegiados», dijo Jfrog en un crónica compartido con The Hacker News.
Chaos Mesh es una plataforma de ingeniería de caos de origen extenso que ofrece varios tipos de simulación de fallas y simula varias anormalidades que pueden ocurrir durante el ciclo de vida del avance de software.
Los problemas, colectivamente llamados diputados caóticos, se enumeran a continuación –
- CVE-2025-59358 (Puntuación CVSS: 7.5)-El Administrador del compensador del Chaos In Chaos Mesh expone un servidor de depuración GraphQL sin autenticación a todo el clúster de Kubernetes, que proporciona una API para matar procesos arbitrarios en cualquier Pod Kubernetes, lo que lleva a la ineptitud de servicio de servicio de clúster
- CVE-2025-59359 (Puntuación CVSS: 9.8) – La mutación CleanTCS en el administrador del compensador de Chaos es abandonado a la inyección de comando del sistema operante
- CVE-2025-59360 (Puntuación CVSS: 9.8) – La mutación KillProcesses en el administrador del compensador del Caos es abandonado a la inyección del comando del sistema operante
- CVE-2025-59361 (Puntuación CVSS: 9.8) – La mutación de pundonor en el administrador del compensador del chaos es abandonado a la inyección de comando del sistema operante
Un atacante en el clúster, es sostener, un actor de amenaza con ataque original a la red del clúster, podría encadenar CVE-2025-59359, CVE-2025-59360, CVE-2025-59361, o con CVE-2025-59358 para realizar una ejecución de código remoto en el clúster, incluso en la configuración predeterminada de Chaos Mesh.
JFrog dijo que las vulnerabilidades se derivan de mecanismos de autenticación insuficientes interiormente del servidor GraphQL del Manager del Compensador Chaos, lo que permite a los atacantes no autenticados ejecutar comandos arbitrarios en el demonio del Chaos, lo que resulta en la adquisición de clúster.
Los actores de amenaza podrían disfrutar el ataque a los datos confilados potencialmente confilados, interrumpir los servicios críticos o incluso moverse lateralmente a través del clúster para aumentar los privilegios.
A posteriori de la divulgación responsable el 6 de mayo de 2025, todas las deficiencias identificadas fueron abordadas por Caos Mesh con el extensión de la interpretación 2.7.3 el 21 de agosto.
Se recomienda a los usuarios que actualicen sus instalaciones a la última interpretación lo antiguamente posible. Si el parche inmediato no es una opción, se recomienda restringir el tráfico de red al Caos Mesh Daemon y el servidor API, y evite ejecutar el Caos Mesh en entornos abiertos o independientemente asegurados.
