Los investigadores de ciberseguridad han descubierto múltiples vulnerabilidades críticas de seguridad en la malla del caos, lo que, si se explota con éxito, podría conducir a adquisiciones de clúster en el entorno de Kubernetes.
«Los atacantes deben explotar estas vulnerabilidades y minimizar el acceso a la red dentro del clúster para realizar acciones más maliciosas, como inyecciones de fallas de plataforma (como apagones de POD e interrupciones de comunicación de red), y robar tokens de cuentas de servicio privilegiados.
Chaos Mesh es una plataforma de ingeniería de caos nativo de código abierto que proporciona diferentes tipos de simulación de fallas y simula varias anomalías que pueden ocurrir durante el ciclo de vida del desarrollo de software.
Los problemas que se conocen colectivamente como confusión se enumeran a continuación –
CVE-2025-59358 (Puntuación CVSS: 7.5)-Chaos Mesh Chaos Controller Manager expone servidores de depuración GraphQL sin autenticación en los grupos de Kubernetes. 9.8)-La mutación CleanTCS en el administrador del controlador Chaos es vulnerable a la inyección del comando del sistema operativo CVE-2025-59360 (puntaje CVSS: 9.8). Vulnerable a la inyección de comandos del sistema operativo
La ejecución del código remoto también se puede realizar con la configuración predeterminada de la malla del caos utilizando atacantes dentro del clúster, a saber, CVE-2025-59359, CVE-2025-59360, CVE-2025-59361 o CVE-2025-59358, que son actores de amenaza con acceso inicial a la red de cúmulos.
JFrog dijo que la vulnerabilidad implica mecanismos de autenticación inadecuados dentro del servidor GraphQL del Manager del Controlador Chaos, lo que permite a los atacantes no autenticados ejecutar comandos arbitrarios en el demonio del caos, lo que resulta en la adquisición de clúster.
Los actores de amenaza pueden aprovechar el acceso a datos potencialmente exfiltrantes, interrumpir los servicios críticos o incluso mover clústeres de lado para aumentar los privilegios.
Después de la divulgación responsable el 6 de mayo de 2025, todos los defectos identificados fueron abordados por Chaos Mesh el 21 de agosto con el lanzamiento de la versión 2.7.3.
Se recomienda a los usuarios que actualicen su instalación a la última versión lo antes posible. Si el parche inmediato no es una opción, recomendamos limitar el tráfico de red a los servidores de demonios y API de malla caótica, y no ejecutar mallas caóticas en entornos abiertos o sueltos.
Source link
