Pesquisadores em cibersegurança revelaram várias vulnerabilidades críticas no Chaos Mesh que, se exploradas com sucesso, podem permitir o controle total de clusters em ambientes Kubernetes.
De acordo com um relatório compartilhado com o The Hacker News pela JFrog, os invasores precisam apenas de acesso mínimo à rede dentro do cluster para explorar essas falhas.
Com isso, podem executar as injeções de falhas da plataforma — como desligar pods ou interromper comunicações de rede — e realizar ações maliciosas adicionais, incluindo o roubo de tokens de contas de serviço privilegiadas.
O Chaos Mesh é uma plataforma open-source de Chaos Engineering voltada para ambientes cloud-native.
Ela oferece diversos tipos de simulação de falhas e reproduz anomalias que podem ocorrer durante o ciclo de desenvolvimento de software.
As vulnerabilidades, agrupadas sob o nome “Chaotic Deputy”, são as seguintes:
-
CVE-2025-59358
(pontuação CVSS: 7,5): O Chaos Controller Manager expõe um servidor GraphQL para depuração sem autenticação, acessível a todo o cluster Kubernetes.
Esse servidor oferece uma API que permite matar processos arbitrários em qualquer pod, o que pode levar a uma negação de serviço (DoS) em todo o cluster.
-
CVE-2025-59359
(pontuação CVSS: 9,8): A mutação cleanTcs no Chaos Controller Manager é vulnerável à injeção de comandos no sistema operacional.
-
CVE-2025-59360
(pontuação CVSS: 9,8): A mutação killProcesses também é suscetível à injeção de comandos no sistema operacional.
-
CVE-2025-59361
(pontuação CVSS: 9,8): A mutação cleanIptables apresenta a mesma vulnerabilidade de injeção de comandos.
Um atacante com acesso inicial à rede dentro do cluster pode combinar essas falhas para executar código remotamente em todo o ambiente, mesmo com a configuração padrão do Chaos Mesh.
Segundo a JFrog, o problema está na falta de mecanismos de autenticação robustos no servidor GraphQL do Chaos Controller Manager.
Isso permite que invasores não autenticados executem comandos arbitrários no Chaos Daemon, culminando no comprometimento total do cluster.
Com o acesso obtido, os criminosos podem extrair dados sensíveis, interromper serviços críticos ou se movimentar lateralmente dentro do cluster para elevar privilégios.
Após a divulgação responsável em 6 de maio de 2025, a equipe do Chaos Mesh corrigiu todas as vulnerabilidades na versão 2.7.3, lançada em 21 de agosto.
Os usuários devem atualizar seus ambientes para a versão mais recente o quanto antes.
Caso não seja possível aplicar o patch imediatamente, recomenda-se restringir o tráfego de rede para o daemon do Chaos Mesh e para o API server, evitando rodar a plataforma em ambientes abertos ou com pouca segurança.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...