Chaos Mesh es una herramienta de chaos engineering de código abierto para Kubernetes que permite simular fallos como el cierre de pods o interrupciones de red para probar la resiliencia de los sistemas.
Las vulnerabilidades: “Chaotic Deputy”
Investigadores de JFrog descubrieron cuatro vulnerabilidades críticas, agrupadas bajo el nombre “Chaotic Deputy”, que afectan a las versiones de Chaos Mesh anteriores a la 2.7.3. Estas fallas, identificadas como CVE-2025-59358, CVE-2025-59359, CVE-2025-59360 y CVE-2025-59361, podrían permitir la ejecución de comandos y la terminación de procesos en pods, e incluso llevar a la denegación de servicio de todo el cluster.
Las vulnerabilidades residen en que el controlador de Chaos Mesh expone un servidor GraphQL de depuración sin autenticación. Esto permite que un atacante, con acceso a la red del cluster, pueda:
- CVE-2025-59358: Enviar solicitudes que matan procesos arbitrarios.
- CVE-2025-59359: Inyectar comandos del sistema operativo.
- CVE-2025-59360: Terminar procesos de pods esenciales.
- CVE-2025-59361: Manipular reglas de iptables para modificar o bloquear el tráfico de la red.
Para que el ataque funcione, solo se necesita acceso a la red interna del cluster, incluso desde un pod con permisos bajos.
Recomendaciones
La solución más urgente es actualizar a la versión 2.7.3 de Chaos Mesh o superior, que fue lanzada el 21 de agosto de 2025 y corrige todos estos fallos.
- Desactivar el servidor GraphQL: Utiliza el chart de Helm para desactivar el servidor de control (CtrlServer) y el puerto GraphQL expuesto.
- Restringir el acceso de red: Utiliza Network Policies en Kubernetes para limitar la comunicación con el componente chaos-controller-manager solo a pods o servicios de confianza.
- Aplicar el principio de mínimo privilegio: Revisa los roles y permisos asignados a los pods para que ninguno tenga más acceso del que necesita.
- Monitorear la actividad sospechosa: Habilita alertas para detectar intentos de mutaciones GraphQL, fallos de autenticación o la terminación repentina de pods críticos.
¿Qué impacto tiene esto?
Un ciberdelincuente que logre explotar estas vulnerabilidades podría tomar el control total del cluster, robar credenciales de cuentas de servicio o causar interrupciones de servicio severas. Esto resalta la importancia de aplicar principios de seguridad, incluso en herramientas de desarrollo y pruebas. Las organizaciones que utilizan Chaos Mesh en entornos gestionados, como Azure Chaos Studio, también podrían estar en riesgo si sus proveedores no han aplicado los parches.
