Cybersecurity -onderzoekers hebben meerdere kritieke beveiligingskwetsbaarheden in chaos mesh bekendgemaakt die, indien met succes worden uitgebuit, zou kunnen leiden tot clusterovername in Kubernetes -omgevingen.
“Aanvallers hebben slechts minimale toegang tot in cluster nodig om deze kwetsbaarheden te benutten, de foutinjecties van het platform uit te voeren (zoals het afsluiten van pods of het verstoren van netwerkcommunicatie), en verdere kwaadaardige acties uitvoeren, inclusief het stelen van bevoorrechte servicecontact tokens,” zei JFRog in een rapport gedeeld met het hacker-nieuws.
Chaos Mesh is een open-source cloud-native chaos engineering platform dat verschillende soorten foutsimulatie biedt en verschillende afwijkingen simuleert die kunnen optreden tijdens de levenscyclus van de softwareontwikkeling.
De problemen, gezamenlijk chaotische afgevaardigde genoemd, worden hieronder vermeld –
- CVE-2025-59358 (CVSS-score: 7.5)-De Chaos Controller Manager in chaos mesh stelt een GraphQL-foutopsporingsserver bloot zonder authenticatie aan het hele Kubernetes-cluster, dat een API biedt om willekeurige processen te doden in elke Kubernetes-pod, leidend tot cluster-brede denial-of-service
- CVE-2025-59359 (CVSS SCORE: 9.8) – De CleanTCS -mutatie in Chaos Controller Manager is kwetsbaar voor de commando -injectie van het besturingssysteem
- CVE-2025-59360 (CVSS SCORE: 9.8) – De mutatie van KillProcesses in Chaos Controller Manager is kwetsbaar voor de commando -injectie met besturingssystemen
- CVE-2025-59361 (CVSS -score: 9.8) – De mutatie van cleaniptables in Chaos Controller Manager is kwetsbaar voor het besturingssysteemopdrachtinjectie
Een in-cluster aanvaller, dat wil zeggen een bedreigingsacteur met initiële toegang tot het netwerk van de cluster, kan CVE-2025-59359, CVE-2025-59360, CVE-2025-59361 of met CVE-2025-59358 ketenen om externe code-uitvoering in de code uit te voeren, zelfs in de standaardconfiguratie van Chaos Mesh.
JFRog zei dat de kwetsbaarheden voortkomen uit onvoldoende authenticatiemechanismen binnen de GraphQL -server van de Chaos Controller Manager, waardoor niet -geauthenticeerde aanvallers willekeurige opdrachten op de chaos -daemon kunnen uitvoeren, wat resulteert in clusterovername.
Dreigingsactoren kunnen vervolgens gebruikmaken van de toegang om mogelijk gevoelige gegevens te exfiltreren, kritieke diensten te verstoren of zelfs lateraal over het cluster te bewegen om privileges te escaleren.
Na verantwoorde openbaarmaking op 6 mei 2025, werden alle geïdentificeerde tekortkomingen aangepakt door chaos mesh met de release van versie 2.7.3 op 21 augustus.
Gebruikers wordt geadviseerd om hun installaties zo snel mogelijk bij te werken naar de nieuwste versie. Als onmiddellijke patching geen optie is, wordt het aanbevolen om netwerkverkeer te beperken tot de chaos mesh daemon en API -server en te voorkomen dat chaos mesh in open of los beveiligde omgevingen wordt uitgevoerd.
