Das JFrog-Security-Research-Team hat mehrere kritische Schwachstellen in Chaos-Mesh, einer weit verbreiteten Testing-Plattform in Kubernetes-Umgebungen, entdeckt und offengelegt. Die Sicherheitslücken wurden unter dem Namen „Chaotic Deputy“ (CVE-2025-59358, CVE-2025-59359, CVE-2025-59360 und CVE-2025-59361) zusammengefasst, wobei die letzten drei jeweils eine CVSS-Bewertung von 9.8 aufweisen. Sie ermöglichen es Angreifern mit Zugriff innerhalb des Clusters, vollständige Kontrolle über die Umgebung zu erlangen.
Zu den betroffenen Plattformen gehören auch Managed-Angebote wie Azure-Chaos-Studio. Die Schwachstellen erfordern nur minimalen internen Netzwerkzugriff, um ausgenutzt zu werden. Danach können Angreifer Chaos-Mesh gezielt manipulieren – etwa durch das Abschalten von Pods oder das Stören der Netzwerkkommunikation – und weitere Aktionen durchführen, wie etwa das Stehlen privilegierter Service-Account-Tokens.
„Plattformen wie Chaos-Mesh haben per Design umfassenden Zugriff auf den Kubernetes-Cluster“, erklärt Shachar Menashe, VP Security Research bei JFrog. „Diese Flexibilität wird zum Risiko, wenn Schwachstellen wie ‚Chaotic Deputy‘ entdeckt werden. Wir empfehlen Nutzern dringend ein schnelles Upgrade, da diese Lücken äußerst leicht auszunutzen sind und eine vollständige Übernahme des Clusters ermöglichen. Unser Dank gilt auch den Chaos-Mesh-Maintainern für ihre schnelle Reaktion und Zusammenarbeit bei der Behebung.“
Die Schwachstellen sind auf unzureichende Authentifizierungsmechanismen im GraphQL-Server des Chaos-Controller-Managers zurückzuführen. Dies ermöglicht nicht authentifizierten Angreifern die Ausführung kritischer Befehle – darunter das Einschleusen beliebiger Betriebssystemkommandos oder das Auslösen von Denial-of-Service-Angriffen. Selbst in der Standardkonfiguration lassen sich auf diese Weise beliebige Kommandos in beliebigen Pods des Clusters ausführen. Die potenziellen Folgen sind gravierend: von der Exfiltration sensibler Daten über die Beeinträchtigung geschäftskritischer Dienste bis hin zur lateralen Bewegung innerhalb des Clusters und einer weiteren Eskalation von Berechtigungen.
Prüfen ob eigene System betroffen sind
Führen Sie folgenden Shell-Befehl aus:
kubectl get pods -A –selector app.kubernetes.io/name=chaos-mesh -o=jsonpath=“{range .items[*]}{.metadata.name}{‚: ‚}{range .spec.containers[*]}{.image}{‚, ‚}{end}{‚\n‘}{end}“
Maßnahmen bei betroffenen Versionen (vor Version 2.7.3):
- Upgrade dringend empfohlen: Aktualisieren Sie sofort auf Version 2.7.3 oder höher.
- Falls ein Upgrade nicht sofort möglich ist:
- Beschränken Sie den Netzwerkzugriff auf den Chaos Mesh Daemon und den API-Server.
- Vermeiden Sie den Einsatz von Chaos Mesh in offenen oder schwach gesicherten Umgebungen – insbesondere, wenn diese potenziell kompromittierten Workloads zugänglich sind.
Info: Die vollständige Untersuchung des JFrog Security Research Teams und Maßnahmen zur Risikominderung finden sich hier:
#JFrog
