Siber güvenlik araştırmacıları, kaos ağında, başarılı bir şekilde sömürülürse Kubernetes ortamlarında küme devralmasına yol açabilecek birden fazla kritik güvenlik açıklığını açıkladılar.
Jfrog, hacker haberleriyle paylaşılan bir raporda, “Saldırganların bu güvenlik açıklarından yararlanmak, platformun arıza enjeksiyonlarını (kapsülleri kapatmak veya ağ iletişimini bozma gibi) yürütmek ve ayrıcalıklı hizmet hesabı tokenlerini çalmak da dahil olmak üzere daha fazla kötü niyetli işlem gerçekleştirmek için sadece kümelenen minimal ağ erişimine ihtiyacı var.” Dedi.
Chaos Mesh, çeşitli arıza simülasyonu türleri sunan ve yazılım geliştirme yaşam döngüsü sırasında meydana gelebilecek çeşitli anormallikleri simüle eden açık kaynaklı bir bulut yerli Chaos mühendislik platformudur.
Toplu olarak kaotik milletvekilleri olarak adlandırılan sorunlar aşağıda listelenmiştir –
- CVE-2025-59358 (CVSS Puanı: 7.5)-Kaos ağındaki kaos denetleyici yöneticisi, herhangi bir kubernetes kapsülünde keyfi süreçleri öldürmek için bir API sağlayan tüm Kubernetes kümesine kimlik doğrulaması yapmadan bir grafikkl hata ayıklama sunucusunu ortaya çıkarır.
- CVE-2025-59359 (CVSS Puanı: 9.8) – Kaos Denetleyici Yöneticisi’ndeki CleanTCS mutasyonu, işletim sistemi komut enjeksiyonuna karşı savunmasızdır
- CVE-2025-59360 (CVSS Skoru: 9.8) – Kaos Kontrolör Yöneticisi’ndeki Killprocesses Mutasyonu, İşletim Sistemi Komut Enjeksiyonuna karşı savunmasızdır
- CVE-2025-59361 (CVSS Puanı: 9.8) – Kaos Denetleyici Yöneticisi’ndeki Temizlik Mutasyonu, İşletim Sistemi Komut Enjeksiyonuna karşı savunmasızdır
Kümenin ağına ilk erişimi olan bir tehdit aktörü, bir küme içi saldırgan, CVE-2025-59359, CVE-2025-59360, CVE-2025-59358 ile CVE-2025-59358 ile, CHAOS mesh’in varsayılan konfigürasyonunda bile küme boyunca uzaktan kod yürütme yapmak için CVE-2025-59358 olabilir.
JFrog, güvenlik açıklarının, Chaos Controller Manager’ın GraphQL sunucusundaki yetersiz kimlik doğrulama mekanizmalarından kaynaklandığını ve kimlik doğrulanmamış saldırganların Kaos Daemonunda keyfi komutlar çalıştırmasına izin vererek küme devralmasına neden olduğunu söyledi.
Tehdit aktörleri daha sonra potansiyel olarak hassas verileri söndürmeye, kritik hizmetleri bozmaya ve hatta ayrıcalıkları artırmak için küme boyunca yanal olarak harekete geçebilir.
6 Mayıs 2025’teki sorumlu açıklamanın ardından, belirlenen tüm eksiklikler 21 Ağustos’ta 2.7.3 sürümünün piyasaya sürülmesiyle Chaos Mesh tarafından ele alındı.
Kullanıcılara kurulumlarını en kısa sürede en son sürüme güncellemeleri tavsiye edilir. Hemen yama bir seçenek değilse, ağ trafiğini Chaos Mesh Daemon ve API sunucusuyla sınırlandırmanız ve açık veya gevşek olarak güvenli ortamlarda kaos ağını çalıştırmaktan kaçınmanız önerilir.