网络安全研究人员披露了Chaos Mesh中存在的多个严重安全漏洞,这些漏洞若被成功利用,可能导致Kubernetes环境中的集群被接管。
JFrog在与《黑客新闻》分享的一份报告中表示:“攻击者只需拥有最低限度的集群内网络访问权限,就能利用这些漏洞,执行平台的故障注入(例如关闭容器或中断网络通信),并实施进一步的恶意行为,包括窃取特权服务账户令牌。”
混沌网格(Chaos Mesh)是一个开源的云原生混沌工程平台,它提供多种类型的故障模拟,并能模拟软件开发生命周期中可能出现的各种异常情况。
这些问题统称为“混沌代理”(Chaotic Deputy),列举如下:
- CVE-2025-59358(CVSS评分:7.5)——Chaos Mesh中的Chaos Controller Manager向整个Kubernetes集群暴露了一个无需认证的GraphQL调试服务器,该服务器提供了一个API,可杀死任何Kubernetes pod中的任意进程,从而导致集群范围的拒绝服务。
- CVE-2025-59359(CVSS评分:9.8)——混沌控制器管理器中的cleanTcs突变存在操作系统命令注入漏洞
- CVE-2025-59360(CVSS评分:9.8)——混沌控制器管理器中的killProcesses突变存在操作系统命令注入漏洞
- CVE-2025-59361(CVSS评分:9.8)——混沌控制器管理器中的cleanIptables突变存在操作系统命令注入漏洞
集群内攻击者,即已初步访问集群网络的威胁行为者,可能会将CVE-2025-59359、CVE-2025-59360、CVE-2025-59361与CVE-2025-59358结合使用,以在整个集群中执行远程代码,即使是在Chaos Mesh的默认配置下也能实现。
JFrog表示,这些漏洞源于Chaos Controller Manager的GraphQL服务器内认证机制不足,这使得未认证的攻击者能够在Chaos Daemon上运行任意命令,从而导致集群被接管。
威胁行为者随后可能会利用这种访问权限,潜在地窃取敏感数据、破坏关键服务,甚至在集群中横向移动以提升权限。
在2025年5月6日进行负责任的披露后,Chaos Mesh已于8月21日发布2.7.3版本,解决了所有发现的缺陷。
建议用户尽快将其安装更新至最新版本。如果无法立即打补丁,建议限制流向Chaos Mesh守护进程和API服务器的网络流量,并避免在开放或安全性较低的环境中运行Chaos Mesh。
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
