Chaos Mesh, Kubernetes ortamlarında hata simülasyonları yaparak sistem dayanıklılığını test eden açık kaynaklı bir kaos mühendisliği platformudur. Ancak, platformun Chaos Controller Manager bileşeninde bulunan bir dizi kritik GraphQL güvenlik açığı, saldırganların küme genelinde uzaktan kod yürütmesine ve tam kontrol sağlamasına olanak tanıyor.
Önemli Güvenlik Açıkları ve Etkileri
JFrog tarafından bildirilen dört ana zafiyet (CVE-2025-59358, CVE-2025-59359, CVE-2025-59360, CVE-2025-59361) Chaos Controller Manager’ın kimlik doğrulama gerektirmeyen GraphQL hata ayıklama sunucusundaki komut enjeksiyonu ve süreç sonlandırma işlevlerinde yer almaktadır. Bu açıklardan yararlanan bir saldırgan, Kubernetes podlarındaki rastgele işlemleri durdurabilir, işletim sistemi komutları enjekte ederek küme çapında hizmet reddine ve hassas veri sızıntısına neden olabilir.
Küme Ele Geçirme Senaryosu ve Korunma Önerileri
Ağ erişimine sahip bir tehdit aktörü, bu açıklardan birini veya birkaçını zincirleyerek Chaos Mesh’in varsayılan konfigürasyonunda bile tam küme kontrolü elde edebilir. JFrog, bu durumun yetersiz kimlik doğrulama mekanizmalarından kaynaklandığını ve saldırganların Chaos Daemon üzerinde rastgele komutlar çalıştırmasına imkan tanıdığını vurgulamaktadır. Kullanıcıların, 21 Ağustos 2025’te yayımlanan 2.7.3 sürümüne acilen yükseltme yapmaları; ayrıca yamalama mümkün değilse ağ trafiği kısıtlaması ve platformun güvenli olmayan ortamlarda çalıştırılmaması önerilmektedir.
Shachar Menashe, “Chaos Mesh gibi platformlar Kubernetes kümeleri üzerinde tam kontrol sağladığından, bu tür güvenlik açıkları kritik risk oluşturuyor,” diyerek durumu özetliyor.