CSIRT Toscana Chaotic Deputy: vulnerabilità critiche nella piattaforma di chaos engineering per Kubernetes (AL01/250917/CSIRT-ITA)
Data:
17 Settembre 2025
Impatto Sistemico
Alto (66.41)
Sintesi
Aggiornamenti di sicurezza sanano quattro vulnerabilità, di cui 3 con gravità “critica”, in Chaos Mesh, piattaforma di chaos engineering per Kubernetes.
Tali vulnerabilità, che interessano il server GraphQL di debug, potrebbero consentire a un utente malintenzionato l’esecuzione di comandi arbitrari e il conseguente controllo dell’intero cluster.
Tipologia
- Arbitrary Code Execution
- Denial of Service
Descrizione e potenziali impatti
Chaos Mesh è una piattaforma open source per il “chaos engineering” su Kubernetes: tale prodotto permette di simulare guasti (fault injection) su pod, network, filesystem, kernel, ecc., al fine di testare la resilienza e comportamento del sistema.
Ricercatori di sicurezza hanno recentemente scoperto 4 vulnerabilità – denominate “ Chaotic Deputy ” e presenti nella configurazione di default del prodotto – di cui 3 identificate tramite le CVE-2025-59359, CVE-2025-59360, CVE-2025-59361 con score CVSS v3.x pari a 9.8. Tali vulnerabilità potrebbero consentire l’iniezione di comandi al sistema operativo sottostante tramite mutazioni [1] (mutations) come cleanTcs , killProcesses , cleanIptables . Un potenziale attaccante con accesso al cluster, anche tramite un pod non privilegiato, risulterebbe in grado di eseguire comandi arbitrari su altri pod, rubare token di service account, effettuare movimenti laterali e, potenzialmente, prendere controllo del cluster
La quarta vulnerabilità, identificata tramite la CVE-2025-59358 e con score CVSS v3.x pari a 7.5, potrebbe permettere la compromissione della disponibilità del servizio, tramite un server GraphQL di debug esposto su Internet privo di meccanismi di autenticazione.
Prodotti e versioni affette
Chaos Mesh, versioni precedenti alla 2.7.3
Azioni di mitigazione
Ove non provveduto, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili all’ultima versione disponibile.
Ove l’aggiornamento tempestivo non fosse possibile, è necessario ridistribuire il chart Helm impostando enableCtrlServer=false per disabilitare lo strumento chaosctl e chiudere la porta di controllo del server GraphQL ( chaos-controller-manager ) 10082.
helm install chaos-mesh chaos-mesh/chaos-mesh -n=chaos-mesh --version 2.7.x --set enableCtrlServer=false
[1] Le mutation in Chaos Mesh sono le chiamate GraphQL utilizzate per comandare esperimenti e pulire l’ambiente. Sono pensate per sviluppatori, ma se l’endpoint resta esposto e non aggiornato diventano un punto d’ingresso per eseguire comandi malevoli nel cluster.
Riferimenti
- https://jfrog.com/blog/chaotic-deputy-critical-vulnerabilities-in-chaos-mesh-lead-to-kubernetes-cluster-takeover/
- https://github.com/chaos-mesh/chaos-mesh/pull/4702
CVE
| CVE-ID | |||
|---|---|---|---|
| CVE-2025-59358 | CVE-2025-59359 | CVE-2025-59360 | CVE-2025-59361 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 17-09-2025 | 17/09/2025 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
17 Settembre 2025, 11:30