Las vulnerabilidades críticas se identificaron en Chaos Mesh, una popular plataforma de ingeniería de la Fundación Computación Nativa de Cloud Native Se utilizaron para pruebas de inyección de fallas en entornos de Kubernetes.
Las fallas de seguridad, denominadas colectivamente “diputado caótico”, comprenden cuatro CVE que permiten un compromiso completo de clúster a través de técnicas de explotación relativamente simples.
Control de llave
1. “Diputado caótico” en la malla del caos <2.7.3 permite la inyección no autenticada de GraphQL e Command.
2. Los atacantes explotan el puerto 10082 y el demonio del caos para secuestrar vainas y robar fichas.
3. Actualice o deshabilite el servidor de control.
El conjunto de vulnerabilidades incluye CVE-2025-59358, CVE-2025-59359, CVE-2025-59360 y CVE-2025-59361, con tres de estos que transportan calificaciones de gravedad CVSS 9.8.
Estas vulnerabilidades afectan las versiones de malla del caos antes de 2.7.3 y pueden ser explotadas por los atacantes con acceso inicial a la red al clúster Kubernetes, incluso cuando se ejecuta dentro de las cápsulas no privilegiadas.
Vulnerabilidades de malla del caos
Jfrog informes que el vector de ataque primario implica explotar un servidor GRAPHQL no autenticado expuesto por el componente del administrador del controlador Chaos.
CVE-2025-59358 representa una falla de autenticación faltante que permite el acceso no autorizado al punto final /consulta en el puerto 10082.
Esta interfaz GraphQL, prevista como una herramienta de depuración, funciona sin los controles de autenticación adecuados en configuraciones predeterminadas.
Los tres CVE restantes implican vulnerabilidades de inyección de comando OS dentro de las mutaciones GraphQL, incluidas las limpiezas, los procesos de matar y los limpiables.
Estas mutaciones concatenan directamente la entrada del usuario en las funciones de ejecución de comandos, lo que permite a los atacantes inyectar comandos de shell arbitrarios a través de parámetros como nombres de dispositivos, ID de proceso y cadenas IPTables.
Los atacantes pueden explotar estas fallas de inyección de comandos para ejecutar los comandos TC QDISC del Dev (dispositivo) Root, Kill (PIDS) e iptables -f (cadena) con cargas de útiles maliciosas.
Las rutas de código vulnerable se hunden directamente en el método ExecByPass, que ejecuta comandos en las vainas de destino sin la desinfección de entrada adecuada.
El componente de demonio del caos se ejecuta con permisos privilegiados en modo DaenSet, proporcionando a los atacantes acceso extenso a clúster una vez que la explotación inicial tiene éxito.
A través del mecanismo de montaje del sistema de archivos/proc // root y el binario NSEXEC, los atacantes pueden ejecutar comandos arbitrarios en cualquier POD dentro del clúster.
Total de adquisición de clúster
La progresión del ataque implica mapear los nombres de los POD para procesar las ID a través de API expuestas, luego aprovechar el sistema de archivos PROC para acceder a los tokens de cuenta de servicio ubicados en /proc//root/var/run/secrets/kubernetes.io/serviceAccount/Token.
Esta técnica permite la escalada de privilegios al robar tokens de cuentas de servicio de alto privilegio.
CVETITLEIMPACTCVSS 3.1 ScoreSeverityCVE-2025-59358Missing Autenticación (DOS) Acceso no autorizado al servidor GraphQL, causando inyección de comandos de comando de shell de todo el clúster a todo el clúster. inyección en la ejecución del comando de shell killprocessarbitrary en pods9.8criticalcve-2025-59361os inyección de comando en la ejecución del comando de shell limpiable y bíriter en pods9.8critical
Las organizaciones que usan Mesh de Chaos deben actualizarse inmediatamente a la versión 2.7.3 o implementar la solución temporal deshabilitando el servidor de control utilizando Helm Install Chaos-Mesh Chaos-Mesh/Chaos-Mesh -n = Chaos-Mesh –Version 2.7.x –Set EnlectlServer = false.
La detección se puede realizar utilizando comandos Kubectl para identificar implementaciones vulnerables y confirmar la presencia del punto final GRAPHQL expuesto en el puerto 10082.
¡Webinar gratuito en vivo en nuevas tácticas de malware de nuestros analistas! Aprenda técnicas de detección avanzada -> Regístrese gratis
