Source: https://thehackernews.com/2025/09/chaos-mesh-critical-graphql-flaws.html
🛡 概要
Chaos Meshは、クラウドネイティブなカオスエンジニアリングプラットフォームであり、ソフトウェア開発ライフサイクル中の異常をシミュレーションします。しかし、最近発見された複数の重大なセキュリティ脆弱性が、Kubernetes環境においてクラスタの乗っ取りを可能にする恐れがあります。これらの脆弱性は、攻撃者が最小限のアクセス権を持つ場合でも悪用でき、プラットフォームの故障注入を実行し、さらなる悪意のある行動を引き起こす可能性があります。特に、特権サービスアカウントトークンの盗難などが懸念されています。
🔍 技術詳細
発見された脆弱性は、CVE-2025-59358、CVE-2025-59359、CVE-2025-59360、CVE-2025-59361の4つであり、いずれもCVSSスコアが高く、特にCVE-2025-59359、CVE-2025-59360、CVE-2025-59361は9.8という評価を受けています。Chaos Controller Manager内のGraphQLデバッグサーバーは、認証なしでKubernetesクラスタ全体に公開されており、攻撃者は任意のコマンドを実行することが可能です。これにより、クラスタ全体でのサービス拒否攻撃(DoS)やリモートコード実行(RCE)が可能となります。
⚠ 影響
これらの脆弱性を悪用された場合、攻撃者はクラスタ内の任意のプロセスを停止させることができ、重要なサービスを中断させたり、機密情報を流出させたりするリスクがあります。また、初期アクセスがある攻撃者は、これらの脆弱性を組み合わせてさらに悪意のある行動を取ることが可能です。特に、デフォルト設定のChaos Meshを使用している場合、これらの脆弱性は特に危険です。
🛠 対策
Chaos Meshの開発チームは、2025年8月21日にバージョン2.7.3をリリースし、発見された脆弱性を修正しました。ユーザーは、できるだけ早く最新のバージョンにアップデートすることが強く推奨されます。もし即時のパッチ適用が困難な場合は、Chaos MeshデーモンとAPIサーバーへのネットワークトラフィックを制限し、オープンまたは緩くセキュリティが施された環境での使用を避けることが重要です。
