出典:ArtemisDiana(Shutterstockより)
カオスエンジニアリングプラットフォームは、組織が制御された障害を導入し、システムの耐障害性をテストするために使用しますが、侵入されて実際の攻撃に利用される可能性があります。
これは、JFrogの研究者が最近発見したChaos Meshに存在する4つの重大な脆弱性にも当てはまります。これらの脆弱性により、攻撃者はKubernetesクラスタ全体を乗っ取ることが可能になります。
Chaotic Deputy脆弱性
Chaos Meshは、組織がKubernetes環境に障害シナリオを注入し、ポッドやネットワーク、その他のコンポーネントの堅牢性をテストしたり、潜在的な弱点を特定したりすることができます。このクラウドネイティブなオープンソースプラットフォームは、Cloud Native Computing Foundation(CNCF)のインキュベーションプロジェクトであり、これは導入実績、安定性、本番環境での利用準備が整っていることを示しています。
JFrogは、Chaos MeshがKubernetesクラスタ全体で障害をシミュレートできることから調査を決定しました。同社の分析は、カオス実験のスケジューリングと実行を担当するChaos Controller Managerというコンポーネントに焦点を当てました。このコンポーネントには、ワークフローコントローラー、スケジューラーコントローラー、その他の障害特化型コントローラーなど、複数のコントローラーが含まれており、協力してカオス実験を実行・管理します。Chaos Controller Managerの複雑さと、その動作に関する公式ドキュメントが存在しないことが、JFrogの研究者が脆弱性を調査するきっかけとなりました。
彼らの分析により、1つだけでなく4つの個別の脆弱性が明らかになり、これらは総称して「Chaotic Deputy」と名付けられました。
JFrogは、3つの脆弱性—CVE-2025-59360、CVE-2025-59361、およびCVE-2025-59359—を重大(CVSS 9.8)と評価しました。いずれもコマンドインジェクションの脆弱性であり、Kubernetesクラスタへの初期アクセス権を持つ攻撃者が、クラスタ内の任意のポッドでOSコマンドを実行できてしまいます。セキュリティベンダーは、これらの脆弱性により複数のポッドでKubernetesサービス・トークンへのアクセスが可能となり、特権のないポッドで動作している攻撃者であっても権限昇格し、クラスタ全体を乗っ取る可能性があることを発見しました。JFrogは、これらの脆弱性が、ユーザー入力のサニタイズが不十分なcleanTcs(システム耐障害性テスト用の障害注入)に関連しているとしています。
JFrogが発見した他のChaotic Deputy脆弱性—CVE-2025-59358(CVSS 7.5)—は比較的深刻度が低く、攻撃者がクラスタ全体でサービス拒否(DoS)状態を引き起こすことが可能です。
非常に魅力的な標的
「Chaos Meshのようなプラットフォームは、設計上、特定のポッドに危険なAPI権限を与えており、悪用された場合、Kubernetesクラスタ全体を完全に制御できてしまいます」と、JFrogのアプリケーションセキュリティ研究者Natan Nehorai氏はJFrogのアドバイザリで述べています。「このような潜在的な悪用は、Chaotic Deputyのような脆弱性が発見された場合、重大なリスクとなります。」
JFrogは5月初旬にChaos Mesh開発チームに脆弱性を報告し、修正版ソフトウェア(2.7.3)が8月21日にリリースされました。JFrogは、同技術を利用している組織に対し、できるだけ早く新バージョンへアップグレードすることを推奨しています。セキュリティベンダーのアドバイザリには、すぐにアップグレードできない場合の回避策も記載されています。
Chaos Meshは、組織がシステムを安全に破壊して耐障害性をテストできるカオスエンジニアリングツールの一つです。他にも、LitmusChaosやGremlinなどがあり、これらもポッド障害やネットワーク障害、リソース負荷のシミュレーションによって同様のことが可能です。
これらのツールを使う目的は、隠れたセキュリティ上の弱点を見つけたり、復旧計画を積極的かつ制御された方法でテストしたりすることにあります。しかし、標的ネットワークへの侵入経路を探す攻撃者にとっても魅力的な存在となり得ます。「カオスエンジニアリングプラットフォームの問題は、設計上、少なくとも障害注入のためにクラスタ全体へのアクセス権を持っていることです」とJFrogのセキュリティリサーチ担当副社長Shachar Menashe氏はDark Readingへのコメントで述べています。「したがって、攻撃者にとって非常に価値の高い標的となるのです。」
JFrogは他のカオスエンジニアリングプラットフォームにも同様の脆弱性があることを開示する準備を進めており、調整された情報公開プロセスが終了次第、情報を公開する予定だとMenashe氏は述べています。
JFrogがChaos Meshに報告したChaotic Deputyの脆弱性は、攻撃者が事前にKubernetesクラスタへのアクセス権を持っている必要があります。しかし、こうしたアクセスはかなり一般的に発生しているとMenashe氏は言います。KubernetesクラスタにはWANに面したポッドが存在するため、攻撃者は足がかりを得やすいのです。「これらのポッドは、[リモートコード実行]や[サーバーサイドリクエストフォージェリ]の脆弱性にさらされている可能性があり、攻撃者にクラスタ内への足がかりを与えてしまいます」と彼は述べています。「推奨されるのは、SCAやSAST分析、ペネトレーションテストを活用し、WANに面したポッドのセキュリティをより厳重に監視することです。」
カオスエンジニアリングプラットフォームを導入する際には、提供されているAPIを確認するのが良いでしょう。また、プラットフォームが任意のポッド上でコードを実行できる機能を持っていないことを確認するのも賢明です。代わりに、Menashe氏は、システム耐障害性テストのための障害注入はサービス拒否(DoS)状態のみを引き起こすべきだと述べています。
翻訳元: https://www.darkreading.com/cyber-risk/critical-bugs-chaos-mesh-cluster-takeover