Los investigadores de ciberseguridad han descubierto múltiples vulnerabilidades críticas de seguridad en Chaos Mesh que, si se explotan con éxito, podrían provocar la adquisición de clústeres en entornos de Kubernetes.
«Los atacantes solo necesitan un acceso mínimo a la red dentro del clúster para aprovechar estas vulnerabilidades, ejecutar las inyecciones de errores de la plataforma (como cerrar los módulos o interrumpir las comunicaciones de la red) y realizar otras acciones malintencionadas, como el robo de tokens de cuentas de servicio privilegiadas», dijo JFrog dijo en un informe compartido con The Hacker News.
Chaos Mesh es un nativo de la nube de código abierto Plataforma Chaos Engineering que ofrece varios tipos de simulación de fallos y simula diversas anomalías que pueden producirse durante el ciclo de vida del desarrollo del software.
Los temas, denominados colectivamente Chaotic Deputy, se enumeran a continuación:
- CVE-2025-59358 (Puntuación CVSS: 7.5) - El Chaos Controller Manager de Chaos Mesh expone un servidor de depuración de GraphQL sin autenticación a todo el clúster de Kubernetes, lo que proporciona una API para eliminar procesos arbitrarios en cualquier pod de Kubernetes, lo que provoca una denegación de servicio en todo el clúster
- CVE-2025-59359 (Puntuación CVSS: 9,8) - La mutación CleanTCS en Chaos Controller Manager es vulnerable a la inyección de comandos del sistema operativo
- CVE-2025-59360 (Puntuación CVSS: 9,8) - La mutación KillProcesses en Chaos Controller Manager es vulnerable a la inyección de comandos del sistema operativo
- CVE-2025-59361 (Puntuación CVSS: 9,8) - La mutación CleanIPtables en Chaos Controller Manager es vulnerable a la inyección de comandos del sistema operativo
Un atacante del clúster, es decir, un actor de amenazas con acceso inicial a la red del clúster, podría encadenar el CVE-2025-59359, el CVE-2025-59360, el CVE-2025-59361 o el CVE-2025-59358 para ejecutar código de forma remota en todo el clúster, incluso en la configuración predeterminada de Chaos Mesh.
JFrog dijo que las vulnerabilidades se deben a la insuficiencia de los mecanismos de autenticación dentro del servidor GraphQL del Chaos Controller Manager, lo que permite a los atacantes no autenticados ejecutar comandos arbitrarios en el Chaos Daemon, lo que resulta en la toma de control del clúster.
Los actores de amenazas podrían entonces aprovechar el acceso para filtrar potencialmente datos confidenciales, interrumpir los servicios críticos o incluso moverse lateralmente por el clúster para aumentar los privilegios.
Tras la divulgación responsable el 6 de mayo de 2025, Chaos Mesh abordó todas las deficiencias identificadas con el lanzamiento de versión 2.7.3 el 21 de agosto.
Se recomienda a los usuarios que actualicen sus instalaciones a la última versión lo antes posible. Si la aplicación inmediata de parches no es una opción, se recomienda restringir el tráfico de red al servidor API y daemon de Chaos Mesh y evitar ejecutar Chaos Mesh en entornos abiertos o poco seguros.