Kritikus sérülékenységek a Chaos-Mesh-ben
A JFrog Security Research nemrégiben több sérülékenységet is azonosított a rendkívül népszerű Chaos-Mesh chaos engineering platformban. A felfedezett sérülékenységek, amelyeket Chaotic Deputy névre kereszteltek, a következők: CVE-2025-59358, CVE-2025-59360, CVE-2025-59361 és CVE-2025-59359. Az utolsó három Chaotic Deputy CVE kritikus súlyosságú (CVSS 9.8) hiba, amelyet a klaszteren belüli támadók könnyen kihasználhatnak, hogy tetszőleges kódot futtassanak a klaszter bármely podján, még a Chaos-Mesh alapértelmezett konfigurációjában is.
A „Chaotic Deputy” kihasználásához a támadónak először hozzá kell férnie a klaszter hálózatához. Bár ez a követelmény csökkenti a külső kihasználások esélyét, sajnos elég gyakoriak azok az esetek, amikor a támadóknak klaszteren belüli hozzáférésük van. A klaszteren belüli hozzáféréssel rendelkező támadók, még azok is, akik nem privilegizált podban futnak, kihasználhatják az alapértelmezett konfiguráció sérülékenységeit, és hozzáférhetnek a Chaos Controller Manager GraphQL szerverhez, amely lehetővé teszi számukra a chaos platform natív hibabeviteleinek (podok leállítása, hálózat megszakítása stb.) végrehajtását, valamint OS parancsok bevitelét más podokon végrehajtandó műveletekhez – például privilegizált szolgáltatási fiók tokenek ellopásához.
A Chaos-Mesh felhasználóinak javasolt a lehető leghamarabb frissíteni a Chaos-Mesh-t a javított 2.7.3-as verzióra. Néhány Chaos-Mesh-t használó infrastruktúra szintén érintett a Chaotic Deputy-ban, például az Azure Chaos Studio.
