Vulnerabilidades críticas en Chaos Mesh permiten la toma total de clústeres Kubernetes

Chaos Mesh sufre un conjunto de vulnerabilidades críticas que ponen en jaque la seguridad de miles de entornos Kubernetes, exponiendo clústeres a una posible toma de control total mediante exploits simples y accesibles.

Chaos Mesh es una herramienta crucial de pruebas de resiliencia para orquestadores Kubernetes. Investigaciones recientes revelan cuatro vulnerabilidades, denominadas «Chaotic Deputy», en versiones anteriores a 2.7.3 que, de ser explotadas, pueden conceder a un atacante acceso irrestricto al clúster.

El núcleo del problema reside en la exposición del servidor GraphQL no autenticado (en el puerto 10082) desplegado por el Controller Manager de Chaos Mesh. La vulnerabilidad CVE-2025-59358 permite el acceso sin autenticación al endpoint /query, mientras que CVE-2025-59359, CVE-2025-59360 y CVE-2025-59361 facilitan inyección de comandos a través de las mutaciones cleanTcs, killProcesses y cleanIptables, respectivamente. Estos fallos surgen al concatenar entradas de usuario sin filtrado, ejecutándose directamente en pods objetivo gracias al uso privilegiado del Chaos Daemon en modo DaemonSet.

La explotación permite ejecución remota de comandos (RCE), movimiento lateral y escalada de privilegios. Un atacante podría mapear pods y acceder a tokens de servicio privilegiados (ubicados en /proc/<PID>/root/var/run/secrets/kubernetes.io/serviceaccount/token), logrando el control completo del clúster y potencial afectación a todo su entorno.

Se insta a actualizar urgentemente a Chaos Mesh 2.7.3. Como mitigación temporal, se puede deshabilitar el control server usando Helm (set enableCtrlServer=false). Aplique controles RBAC restrictivos, limite la exposición del puerto 10082 y monitorice posibles accesos y movimientos inusuales con kubectl y herramientas SIEM.

Más información

• CVE-2025-59358 : https://nvd.nist.gov/vuln/detail/CVE-2025-59358
• CVE-2025-59359 : https://nvd.nist.gov/vuln/detail/CVE-2025-59359
• CVE-2025-59360 : https://nvd.nist.gov/vuln/detail/CVE-2025-59360
• CVE-2025-59361 :https://nvd.nist.gov/vuln/detail/CVE-2025-59361
• JFrog: Chaotic Deputy – Critical Vulnerabilities in Chaos Mesh Lead to Kubernetes Cluster Takeover: https://jfrog.com/blog/chaotic-deputy-critical-vulnerabilities-in-chaos-mesh-lead-to-kubernetes-cluster-takeover/
• Critical Chaos Mesh Vulnerabilities Let Attackers Takeover Kubernetes Cluster: https://cybersecuritynews.com/chaos-mesh-vulnerabilities/

La entrada Vulnerabilidades críticas en Chaos Mesh permiten la toma total de clústeres Kubernetes se publicó primero en Una Al Día.

---

☞ El artículo completo original de Hispasec lo puedes ver aquí