Quatre vulnérabilités nouvellement découvertes dans la plate-forme de simulation de défauts peuvent conduire à l’injection de commandement du système d’exploitation et à la prise de contrôle des grappes, même à partir de gousses non privilégiées.
Les chercheurs ont trouvé des vulnérabilités critiques dans Chaos Mesh, une plate-forme populaire que les propriétaires de cluster Kubernetes utilisent pour simuler l’impact des bogues et des défauts sur leurs déploiements. S’il est exploité, les défauts de maillage du chaos pourraient donner aux attaquants qui ont accès à des gousses non privilégiées la possibilité d’exécuter des commandes sur d’autres pods et même de prendre le contrôle de l’ensemble du cluster.
Suivi sous le nom de CVE-2025-59358, CVE-2025-59360, CVE-2025-59361 et CVE-2025-59359, les défauts ont été collectivement surnommés le député chaotique par des chercheurs de la société de sécurité JFROG qui les a trouvés. Trois sont des défauts d’injection de commande avec une gravité critique (CVSS 9.8) et peuvent être exploités même dans les configurations par défaut de chaos-mails.
«Des plateformes telles que le chaos-mails donnent, par conception, des privilèges d’API dangereux à certains gousses qui, en cas d’abus, peuvent prendre un contrôle total du cluster de Kubernetes», ont averti les chercheurs de JFROG dans leur rapport. «Cet abus potentiel peut devenir un risque critique lorsque des vulnérabilités telles que le député chaotique sont découvertes.»
Il est conseillé aux utilisateurs de passer à Chaos-Mesh 2.7.3 ou d’utiliser une solution de contournement via le graphique de la barre pour désactiver le chaosctl outil et port. Certains fournisseurs d’infrastructures cloud qui proposent des implémentations de maillage du chaos dans le cadre de leurs services Kubernetes gérés, tels que Azure Chaos Studio, sont également touchés.
Injecter des défauts de service
Chaos Mesh a été conçu pour orchestrer des scénarios de défaut qui pourraient avoir un impact sur l’infrastructure et les applications. Les chercheurs ont observé qu’un composant central de Chaos Mesh, le gestionnaire de contrôleur, a exposé un serveur GraphQL qui n’a pas appliqué l’authentification pour les requêtes.
En conséquence, un attaquant avec un accès au réseau sur le cluster, même via un pod non privilégié, pourrait envoyer des commandes au composant de démon du chaos via Controller Manager pour injecter des défauts.
Une commande intégrée, ou «mutation», appelée killProcesses Peut arrêter les processus sur d’autres pods, y compris des mèches importantes telles que le pod provisionneur de stockage Kubernetes ou le pod du serveur API. Si ces gousses sont désactivées, l’ensemble du cluster subit un déni de service.
Injection de commandement et mouvement latéral
Certaines mutations, comme cleanTcs, killProcesseset cleanIptablesAutoriser les commandes shell annexées pour exécuter sur les pods ciblés. Les attaquants peuvent utiliser cette fonctionnalité pour effectuer des injections de commande OS et réaliser des mouvements latéraux en extraitant des jetons de compte de service de ces pods.
Le démon du chaos monte le système de fichiers de chaque pod sous un /proc/<PID>/root Chemin de fichier pour faciliter l’exécution des commandes sur eux. Un attaquant en contrôle du démon du chaos peut simplement parcourir les PID de toutes les pods pour extraire leurs jetons de compte de service, qui sont stockés sur un chemin spécifique dans leurs systèmes de fichiers: /proc/<PID>/root/var/run/secrets/kubernetes.io/serviceaccount/token. Ces jetons peuvent ensuite être utilisés avec les Kubernetes kubectl outil pour exécuter des commandes arbitraires sur eux.
« Nous recommandons aux utilisateurs de Chaos Mesh de mettre à niveau rapidement car ces vulnérabilités sont extrêmement faciles à exploiter et à conduire à une prise de contrôle totale de cluster tout en ayant uniquement un accès au réseau de cluster », ont déclaré les chercheurs.
