JFrog(ジェイフロッグ)Security Researchは、広く利用されているChaosエンジニアリングプラットフォームChaos-Meshにおいて、複数のCVE(共通脆弱性識別子)を特定し、公開した。Chaotic Deputyと呼ばれるこれらの脆弱性には、CVE-2025-59358、CVE-2025-59360、CVE-2025-59361、CVE-2025-59359が含まれる。最後の3つのChaotic Deputy CVEはCVSSスコア9.8の重大度であり、クラスター内の攻撃者によって容易に悪用され、Chaos-Meshのデフォルト構成であっても、クラスター内の任意のポッドで任意のコードが実行される可能性がある。
Chaos-Meshユーザーは、修正されたバージョン2.7.3への早急なアップグレードが強く推奨される。アップグレードが困難な場合は、Helmチャートを再デプロイし、chaosctlツールとポートを無効にする必要がある。Azure Chaos Studioなど、Chaos-Meshを利用する特定のインフラストラクチャーも、これらの脆弱性の影響を受ける。
これらの脆弱性は、Chaos-Meshプラットフォームの内部動作を詳細に調査した際に発見された。JFrogチームは、JFrog Deputyを悪用するには、攻撃者がクラスターのネットワークに最初にアクセスする必要があることを発見した。この要件により外部からの攻撃の可能性は低減するが、残念ながら攻撃者がクラスター内アクセス権限を持つケースは非常に多く存在する。クラスター内アクセス権限を持つ攻撃者は、たとえ権限のないポッド内で実行されている場合でも、デフォルト設定の脆弱性を悪用してChaos Controller Manager GraphQLサーバーにアクセスできる。これにより、Chaosプラットフォームのネイティブフォールトインジェクションを実行し、OSコマンドを注入して他のポッドで操作(権限付きサービスアカウントトークンの窃取など)を実行できるようになる。
JFrogチームは、ユーザーがChaotic Deputy脆弱性の影響を受けるかどうかを検出するためのシェルコマンドを提供している。「chaos-mesh」イメージのバージョンが2.7.3より前で、ポッドの説明からポート番号「10082」が返される場合、ユーザーは脆弱だ。
JFrogが発見した脆弱性は、Chaos-Meshのようなプラットフォームに潜在するリスクを浮き彫りにしている。これらのプラットフォームは、設計上、特定のポッドに危険なAPI権限を付与するようになっている。悪用された場合、Kubernetesクラスターの完全な制御につながる可能性がある。Chaotic Deputyのような脆弱性が発見された場合、この潜在的な悪用は重大なリスクとなる可能性がある。これらの脆弱性は非常に簡単に悪用され、クラスターネットワークへのアクセスのみしか許可されていないにもかかわらず、クラスター全体の乗っ取りにつながる可能性があるため、Chaos-Meshユーザーは速やかにアップグレードすることが推奨されている。
出典:JFrog
この製品の詳細については、JFrog製品ページをご覧ください。
