随着越来越多企业组织采用云计算原生架构及容器服务,与Kubernetes有关的应用系统安全性也跟着受到重视,因为一旦这些系统存在弱点,攻击者就有机会对Kubernetes环境上下其手,而对于企业组织带来危害。例如,最近安全企业JFrog披露的安全漏洞Chaotic Deputy,就是这种形态的例子。
这批漏洞被登记为CVE-2025-59358、CVE-2025-59360、CVE-2025-59361,以及CVE-2025-59359,存在于Kubernetes系统稳定性及调试测试平台Chaos Mesh,一旦遭到利用,就有机会导致Kubernetes集群被劫持,攻击者可轻易利用,在集群任意节点执行程序代码。值得留意的是,部分漏洞相当危险,因为其中有3个CVSS风险评分达到9.8(满分10分)。对此,开发团队发布2.7.3版进行修补,若是无法即时套用新版程序,JFrog也提供缓解措施,用户应尽快采取行动应对。
什么是Chaos Mesh?这是专为Kubernetes设计的开源混沌工程(Chaos Engineering)平台,目的是在真实或接近真实的环境中模拟故障情形,帮助开发与运营团队发现系统潜在的弱点,进而提升K8s整体稳定性与容错能力。
JFrog指出,攻击者想要利用Chaotic Deputy的先决条件,就是能对Kubernetes集群网络环境进行初始访问,该公司强调,即使攻击者访问的是没有特殊权限的节点,还是有机会借由默认组态的弱点,入侵Chaos管理控制平台的GraphQL服务器,从而执行该平台的原生错误注入功能,从而关闭节点,或是造成网络中断;再者,攻击者也有机会注入操作系统指令,对其他节点下手,窃取特权服务账号的凭证(Token)。
从漏洞的类型与危险程度来看,CVE-2025-59360、CVE-2025-59361、CVE-2025-59359都是重大层级的操作系统命令注入漏洞,风险值皆为9.8;CVE-2025-59358是缺乏身份验证的拒绝服务(DoS)漏洞,风险值为7.5。
