Vulnerabilidades críticas no Chaos Mesh podem comprometer Kubernetes
Pesquisadores de cibersegurança revelaram múltiplas vulnerabilidades críticas no Chaos Mesh, uma plataforma de Engenharia de Caos de código aberto, que podem permitir a tomada de controle de clusters em ambientes Kubernetes. As falhas, coletivamente chamadas de ‘Chaotic Deputy’, incluem a exposição de um servidor de depuração GraphQL sem autenticação, permitindo que atacantes executem comandos arbitrários e causem negação de serviço em todo o cluster. Além disso, três mutações no Chaos Controller Manager são vulneráveis a injeção de comandos do sistema operacional, com pontuações CVSS de até 9.8, indicando um alto nível de severidade. Um atacante com acesso à rede do cluster pode explorar essas vulnerabilidades para executar código remotamente e potencialmente roubar dados sensíveis ou interromper serviços críticos. Após a divulgação responsável em maio de 2025, a equipe do Chaos Mesh lançou uma atualização em agosto para corrigir as falhas. Os usuários são fortemente aconselhados a atualizar suas instalações imediatamente ou restringir o tráfego de rede para o daemon e servidor API do Chaos Mesh.