Guilgo Blog

Notas de mi quehacer diario con las técnologias.

Chaos Mesh es una herramienta de chaos engineering muy popular en entornos Kubernetes. Permite simular fallos en pods, redes o nodos para probar la resiliencia de las aplicaciones. Sin embargo, durante septiembre de 2025 se han reportado vulnerabilidades críticas bajo el nombre “Chaotic Deputy”, siendo la más grave CVE-2025-59358, que afectan directamente a la seguridad de los clústeres.

Descripción de la vulnerabilidad

  • Componente afectado: servidor GraphQL de Chaos Mesh.
  • Problema: exposición de endpoints sin autenticación ni control de acceso.
  • Impacto: un atacante puede ejecutar consultas maliciosas y manipular recursos internos del clúster.
  • Riesgo: permite ejecución remota de comandos (RCE) y escalada de privilegios, pudiendo tomar control total del entorno Kubernetes.

Vectores de ataque

  1. Acceso remoto al servidor GraphQL expuesto en la red del clúster.
  2. Inyección de mutaciones maliciosas que ordenan la ejecución de experimentos no autorizados.
  3. Abuso de privilegios del Chaos Daemon, que opera con permisos elevados en nodos.
  4. Escalada de privilegios hasta comprometer el plano de control y workloads críticos.

Versiones afectadas

  • Todas las versiones anteriores a 2.7.3 están comprometidas.
  • Chaos Mesh 2.7.3 corrige el fallo cerrando el acceso no autenticado y reforzando la validación de peticiones.

Recomendaciones técnicas

  1. Actualizar inmediatamente a Chaos Mesh 2.7.3 o posterior.
  2. Restringir el acceso a GraphQL:
    • Asegurar que el servicio solo sea accesible dentro del clúster.
    • Implementar NetworkPolicies para aislarlo de tráfico no autorizado.
  3. Habilitar autenticación y RBAC en Chaos Mesh.
  4. Monitorizar logs de Kubernetes y Chaos Mesh para identificar actividad sospechosa.
  5. Escanear el clúster en busca de pods comprometidos tras la exposición.
  6. Revisar permisos del Chaos Daemon y aplicar el principio de privilegios mínimos.

Conclusión

La vulnerabilidad CVE-2025-59358 demuestra cómo incluso herramientas pensadas para fortalecer la resiliencia pueden convertirse en vectores críticos de ataque si no se actualizan. Chaos Mesh es ampliamente utilizado en entornos de pruebas y producción, por lo que los administradores de Kubernetes deben aplicar el parche con urgencia, restringir la exposición del servicio GraphQL y reforzar la seguridad del clúster.

avatar

Sysadmin, Autodidacta hecho así mismo por culpa de la curiosidad

FEATURED TAGS
amazon android apt-get bugs cpanel debian gaming gentoo gnu gnu/linux htc informatica informática juegos olimpicos kde kernel letsencrypt linux microsoft moviles mysql networking programación rasperrypi satélite seguridad seti ssl sysadmin tasker tech tecnologia tecnología ubuntu ubunutu varios vpn