Thought Leadership
JFrog-Sicherheitsforscher entdecken vier Sicherheitslücken in der beliebten Testing-Plattform – drei davon mit CVSS-Score 9.8. Ein sofortiges Update auf Version 2.7.3 ist dringend empfohlen.
Das Security Research Team von JFrog hat vier kritische Schwachstellen in Chaos Mesh aufgedeckt, einer weit verbreiteten Testing-Plattform für Kubernetes-Umgebungen. Die unter dem Namen „Chaotic Deputy” zusammengefassten Sicherheitslücken (CVE-2025-59358, CVE-2025-59359, CVE-2025-59360 und CVE-2025-59361) ermöglichen es Angreifern, mit minimalem internen Netzwerkzugriff die vollständige Kontrolle über Kubernetes-Cluster zu erlangen.
Höchste Kritikalitätsstufe erreicht
Drei der vier entdeckten Vulnerabilities erhielten die maximale CVSS-Bewertung von 9.8 Punkten. Betroffen sind nicht nur lokale Installationen, sondern auch Managed-Services wie Microsofts Azure Chaos Studio.
Die Angriffsvektoren erfordern lediglich minimalen Zugriff innerhalb des Clusters. Angreifer können anschließend Chaos Mesh gezielt manipulieren, beispielsweise Pods abschalten oder die Netzwerkkommunikation stören. Darüber hinaus ermöglichen die Lücken das Abgreifen privilegierter Service-Account-Tokens und weitere Eskalationsschritte.
GraphQL-Server als Schwachpunkt
Der Ursprung der Sicherheitsprobleme liegt in unzureichenden Authentifizierungsmechanismen des GraphQL-Servers im Chaos Controller Manager. Dies ermöglicht nicht authentifizierten Angreifern die Ausführung kritischer Befehle, einschließlich der Einschleusung beliebiger Betriebssystemkommandos oder der Auslösung von Denial-of-Service-Angriffen.
Selbst in der Standardkonfiguration lassen sich beliebige Kommandos in beliebigen Pods des Clusters ausführen. Die Folgen reichen von der Exfiltration sensibler Daten über die Beeinträchtigung geschäftskritischer Dienste bis hin zur lateralen Bewegung innerhalb des Clusters.
Schnelle Reaktion der Maintainer
„Plattformen wie Chaos Mesh haben per Design umfassenden Zugriff auf den Kubernetes-Cluster”, erklärt Shachar Menashe, VP Security Research bei JFrog. „Diese Flexibilität wird zum Risiko, wenn Schwachstellen wie ‘Chaotic Deputy’ entdeckt werden.” Menashe betont die Notwendigkeit schneller Updates und lobt gleichzeitig die rasche Reaktion der Chaos Mesh-Maintainer.
Das Entwicklerteam reagierte umgehend auf die Meldung und stellte bereits Patches bereit. Version 2.7.3 schließt alle bekannten Sicherheitslücken.
Sofortige Maßnahmen erforderlich
Administratoren sollten zunächst prüfen, ob ihre Systeme betroffen sind. Der folgende kubectl-Befehl zeigt installierte Chaos Mesh-Versionen an:
kubectl get pods -A –selector app.kubernetes.io/name=chaos-mesh -o=jsonpath=”{range .items[*]}{.metadata.name}{‘: ‘}{range .spec.containers[*]}{.image}{‘, ‘}{end}{‘\n’}{end}”
Bei Versionen vor 2.7.3 ist ein sofortiges Update dringend empfohlen. Sollte eine sofortige Aktualisierung nicht möglich sein, empfehlen die Sicherheitsforscher als Übergangslösung die Beschränkung des Netzwerkzugriffs auf Chaos Mesh Daemon und API-Server. Zudem sollte der Einsatz in offenen oder schwach gesicherten Umgebungen vermieden werden.
(lb/Jfrog)
