2025年9月16日Ravie Lakshmanan脆弱性 / クラウドセキュリティ
サイバーセキュリティ研究者は、Chaos Meshに複数の重大なセキュリティ脆弱性が存在することを明らかにしました。これらが悪用された場合、Kubernetes環境においてクラスターの乗っ取りにつながる可能性があります。
「攻撃者は、これらの脆弱性を悪用するためにクラスター内ネットワークへの最小限のアクセス権のみが必要です。これにより、プラットフォームのフォールトインジェクション(例:Podのシャットダウンやネットワーク通信の妨害)を実行し、特権サービスアカウントのトークンの窃取など、さらなる悪意ある行為を行うことが可能です」とJFrogはレポートでThe Hacker Newsに共有しました。
Chaos Meshは、オープンソースのクラウドネイティブカオスエンジニアリングプラットフォームであり、さまざまな種類の障害シミュレーションを提供し、ソフトウェア開発ライフサイクル中に発生しうる異常を模擬します。
これらの問題は総称して「Chaotic Deputy」と呼ばれ、以下の通りです:
- CVE-2025-59358(CVSSスコア:7.5)- Chaos MeshのChaos Controller Managerが認証なしでKubernetesクラスター全体にGraphQLデバッグサーバーを公開しており、任意のKubernetes Pod内のプロセスを終了させるAPIを提供します。これによりクラスター全体のサービス拒否(DoS)が発生する可能性があります。
- CVE-2025-59359(CVSSスコア:9.8)- Chaos Controller ManagerのcleanTcsミューテーションにOSコマンドインジェクションの脆弱性が存在します。
- CVE-2025-59360(CVSSスコア:9.8)- Chaos Controller ManagerのkillProcessesミューテーションにOSコマンドインジェクションの脆弱性が存在します。
- CVE-2025-59361(CVSSスコア:9.8)- Chaos Controller ManagerのcleanIptablesミューテーションにOSコマンドインジェクションの脆弱性が存在します。
クラスター内攻撃者、すなわちクラスターのネットワークへの初期アクセスを持つ脅威アクターは、CVE-2025-59359、CVE-2025-59360、CVE-2025-59361、またはCVE-2025-59358を組み合わせて、Chaos Meshのデフォルト構成であってもクラスター全体でリモートコード実行を行うことが可能です。
JFrogによると、これらの脆弱性はChaos Controller ManagerのGraphQLサーバーにおける認証メカニズムの不備に起因しており、認証されていない攻撃者がChaos Daemon上で任意のコマンドを実行でき、クラスターの乗っ取りにつながります。
脅威アクターはこのアクセスを利用して、機密データの持ち出し、重要なサービスの妨害、さらにはクラスター内での横展開による権限昇格を行う可能性があります。
2025年5月6日の責任ある情報公開を受け、特定されたすべての問題は8月21日にリリースされたバージョン2.7.3でChaos Meshによって修正されました。
ユーザーはできるだけ早くインストールを最新版にアップデートすることが推奨されます。すぐにパッチを適用できない場合は、Chaos MeshのデーモンおよびAPIサーバーへのネットワークトラフィックを制限し、オープンまたはセキュリティが緩い環境でのChaos Meshの運用を避けることが推奨されます。
翻訳元: https://thehackernews.com/2025/09/chaos-mesh-critical-graphql-flaws.html