Por Mid 
Vulnerabilidades críticas en Chaos Mesh permiten la toma total de clústeres Kubernetes
Tiempo estimado de lectura: 5 minutos | Dificultad técnica: Alta
Conclusiones clave
- Identificadas vulnerabilidades significativas en Chaos Mesh que comprometen la seguridad de Kubernetes.
- Exposición del servidor GraphQL sin autenticación en el puerto 10082 como vector de ataque principal.
- Cuatro vulnerabilidades bajo el nombre «Chaotic Deputy», con la CVE-2025-59358 proporcionando acceso no autenticado.
- La explotación puede llevar a ejecución remota de comandos, movimiento lateral y escalada de privilegios.
- Se recomienda una actualización inmediata a la versión 2.7.3 y la implementación de controles de seguridad adicionales.
Índice
Vulnerabilidades Identificadas
Un conjunto de vulnerabilidades significativas ha sido identificado en Chaos Mesh, una herramienta esencial para realizar pruebas de resiliencia en entornos orquestados por Kubernetes. Estas fallas representan un riesgo considerable para la seguridad de miles de clústeres Kubernetes, ya que podrían permitir a un atacante obtener el control completo de los mismos a través de exploits sencillos y accesibles.
El problema principal se origina debido a la exposición del servidor GraphQL, que no requiere autenticación y se ejecuta en el puerto 10082, el cual es desplegado por el Controller Manager de Chaos Mesh. Se han determinado cuatro vulnerabilidades, agrupadas bajo el nombre de «Chaotic Deputy», que afectan a las versiones anteriores a la 2.7.3. En particular, la vulnerabilidad CVE-2025-59358 otorga acceso no autenticado al endpoint /query. Por su parte, las vulnerabilidades CVE-2025-59359, CVE-2025-59360 y CVE-2025-59361 habilitan inyecciones de comandos a través de las mutaciones cleanTcs, killProcesses y cleanIptables, respectivamente.
Impacto de las Vulnerabilidades
Estos defectos surgen debido a la concatenación de entradas de usuario sin ningún filtrado. Gracias al uso privilegiado del Chaos Daemon en modo DaemonSet, este código se ejecuta directamente en los pods objetivo. La explotación de estas vulnerabilidades permite la ejecución remota de comandos (RCE), movimiento lateral y escalada de privilegios, lo que daría a un atacante la capacidad de mapear pods y acceder a tokens de servicio privilegiados (localizados en /proc/<PID>/root/var/run/secrets/kubernetes.io/serviceaccount/token).
Como resultado, el control total del clúster podría estar comprometido, afectando potencialmente a todo el entorno.
Recomendaciones de Seguridad
Es altamente recomendable llevar a cabo una actualización a la versión 2.7.3 de Chaos Mesh a la brevedad. Como medida paliativa, se puede desactivar el control del servidor utilizando Helm con el comando (set enableCtrlServer=false). Además, se sugieren controles RBAC restrictivos, limitar la exposición del puerto 10082 y realizar un monitoreo constante de accesos y movimientos inusuales empleando kubectl y herramientas SIEM.