Các lỗ hổng GraphQL của Chaos Mesh cho phép RCE và chiếm quyền cụm Kubernetes

[Starlink]

Các nhà nghiên cứu an ninh mạng đã tiết lộ nhiều lỗ hổng bảo mật nghiêm trọng trong Chaos Mesh, nếu khai thác thành công, có thể dẫn đến việc chiếm quyền cụm trong môi trường Kubernetes.

JFrog cho biết trong một báo cáo chia sẻ với The Hacker News: "Kẻ tấn công chỉ cần quyền truy cập mạng tối thiểu trong cụm để khai thác các lỗ hổng này, thực hiện các cuộc tấn công gây lỗi nền tảng (chẳng hạn như tắt pod hoặc làm gián đoạn liên lạc mạng) và thực hiện các hành động độc hại khác, bao gồm đánh cắp mã thông báo tài khoản dịch vụ đặc quyền".

Chaos Mesh là nền tảng Chaos Engineering nguồn mở trên nền tảng đám mây, cung cấp nhiều loại mô phỏng lỗi và mô phỏng nhiều bất thường có thể xảy ra trong vòng đời phát triển phần mềm.

Các vấn đề được gọi chung là Chaotic Deputy được liệt kê dưới đây:

    CVE-2025-59358 (Điểm CVSS: 7,5) - Trình quản lý Chaos Controller trong Chaos Mesh hiển thị máy chủ gỡ lỗi GraphQL mà không xác thực cho toàn bộ cụm Kubernetes, cung cấp API để hủy các quy trình tùy ý trong bất kỳ nhóm Kubernetes nào, dẫn đến từ chối dịch vụ trên toàn cụm
    CVE-2025-59359 (Điểm CVSS: 9,8) - Đột biến cleanTcs trong Chaos Controller Manager dễ bị tấn công bằng lệnh tiêm của hệ điều hành
    CVE-2025-59360 (Điểm CVSS: 9,8) - Đột biến killProcesses trong Chaos Controller Manager dễ bị tấn công bằng lệnh tiêm của hệ điều hành
    CVE-2025-59361 (Điểm CVSS: 9,8) - Đột biến cleanIptables trong Chaos Controller Manager dễ bị tấn công bằng lệnh tiêm của hệ điều hành

Kẻ tấn công trong cụm, tức là tác nhân đe dọa có quyền truy cập ban đầu vào mạng của cụm, có thể liên kết CVE-2025-59359, CVE-2025-59360, CVE-2025-59361 hoặc với CVE-2025-59358 để thực hiện thực thi mã từ xa trên toàn cụm, ngay cả trong cấu hình mặc định của Chaos Mesh.

JFrog cho biết các lỗ hổng này bắt nguồn từ cơ chế xác thực không đủ trong máy chủ GraphQL của Chaos Controller Manager, cho phép kẻ tấn công chưa được xác thực chạy các lệnh tùy ý trên Chaos Daemon, dẫn đến việc chiếm quyền cụm.

Sau đó, kẻ tấn công có thể lợi dụng quyền truy cập để đánh cắp dữ liệu nhạy cảm, phá vỡ các dịch vụ quan trọng hoặc thậm chí di chuyển ngang qua cụm để leo thang đặc quyền.

Sau khi tiết lộ thông tin có trách nhiệm vào ngày 6 tháng 5 năm 2025, tất cả các thiếu sót đã được xác định đều được Chaos Mesh giải quyết bằng cách phát hành phiên bản 2.7.3 vào ngày 21 tháng 8.

Người dùng được khuyến cáo cập nhật cài đặt lên phiên bản mới nhất càng sớm càng tốt. Nếu không thể vá lỗi ngay lập tức, bạn nên hạn chế lưu lượng mạng đến daemon Chaos Mesh và máy chủ API, đồng thời tránh chạy Chaos Mesh trong môi trường mở hoặc bảo mật lỏng lẻo.