ثغرات حرجة في Chaos Mesh عبر واجهة GraphQL تتيح تنفيذ تعليمات عن بُعد والسيطرة الكاملة على عنقود Kubernetes

ثغرات حرجة في Chaos Mesh عبر واجهة GraphQL تتيح تنفيذ تعليمات عن بُعد والسيطرة الكاملة على عنقود Kubernetes
ثغرات حرجة في Chaos Mesh عبر واجهة GraphQL تتيح تنفيذ تعليمات عن بُعد والسيطرة الكاملة على عنقود Kubernetes
شارك هذا الخبر

كشف باحثون في الأمن السيبراني عن عدة ثغرات أمنية خطيرة في منصة Chaos Mesh — وهي منصة مفتوحة المصدر لهندسة الفوضى في البيئات السحابية — يمكن أن تُمكّن المهاجم من السيطرة على عنقود Kubernetes بالكامل في حال استغلالها بنجاح.

قالت شركة JFrog في تقرير مُشارك مع The Hacker News إنّ “المهاجمين بحاجة فقط إلى وصول شبكي محدود داخل العنقود لاستغلال هذه الثغرات، وتنفيذ عمليات الحقن التي توفرها المنصة (مثل إيقاف الحاويات أو تعطيل الاتصالات الشبكية)، ثم المضي قدماً في أفعال خبيثة أخرى، بما في ذلك سرقة رموز حسابات الخدمة المميزة.”

ثغرات Chaotic Deputy: الأسماء والتأثير

التقارير صنّفت القضايا مجمعةً تحت تسمية Chaotic Deputy، وتشمل ما يلي:

  • CVE-2025-59358 (CVSS 7.5): يعرّض Chaos Controller Manager خادماً لتصحيح الأخطاء عبر GraphQL دون مصادقة لمطلوب من داخل عنقود Kubernetes، ما يوفر واجهة لقتل عمليات عشوائية داخل أي حاوية، وقد يؤدي إلى حجب خدمة على مستوى العنقود.

  • CVE-2025-59359 (CVSS 9.8): ثغرة حقن أوامر نظام تشغيل في الـ cleanTcs mutation داخل Chaos Controller Manager.

  • CVE-2025-59360 (CVSS 9.8): ثغرة حقن أوامر نظام تشغيل في الـ killProcesses mutation داخل Chaos Controller Manager.

  • CVE-2025-59361 (CVSS 9.8): ثغرة حقن أوامر نظام تشغيل في الـ cleanIptables mutation داخل Chaos Controller Manager.

يسمح الضعف في آليات المصادقة لخادم GraphQL في Chaos Controller Manager للمهاجمين غير الموثقين بتشغيل أوامر عشوائية على Chaos Daemon، مما قد يؤدي إلى تنفيذ تعليمات عن بُعد (RCE) وانتقال سيطرة عبر العنقود حتى في الإعداد الافتراضي لـ Chaos Mesh.

سلسلة الاستغلال والتهديدات المحتملة

يمكن للمهاجم الحاصِل على وصول داخل العنقود شبكياً أن يركّب سلاسل استغلال تجمع إحدى ثغرات الحقن مع الثغرة التي تكشف واجهة GraphQL ليُجري تنفيذًا تعسفيًا للأوامر عبر Chaos Daemon. من ثم قد يستخرج بيانات حساسة، يعطّل خدمات حرجة، أو يتحرك جانبياً داخل العنقود لتصعيد الصلاحيات.

توصل JFrog إلى أن جذور المشكلة تكمن في آليات مصادقة غير كافية داخل خادم GraphQL الخاص بـ Chaos Controller Manager، مما يسمح بذلك النوع من الهجمات بعرض النظام لمخاطر عالية.

الاستجابة والتخفيف المقترح

أُفيد أنّه بعد الكشف المسؤول في 6 مايو 2025، تمّ معالجة الثغرات بإصدار Chaos Mesh رقم 2.7.3 الذي صدر في 21 أغسطس 2025. يُنصح المستخدمون بتحديث تثبيتاتهم إلى آخر إصدار فورًا.

إذا لم يكن بالإمكان تطبيق التصحيح فورًا، فقدّمت التوصيات التالية كإجراءات تخفيفية مؤقتة:

  • تقييد الحركة الشبكية إلى daemon وAPI الخاص بـ Chaos Mesh بحيث لا تكون متاحة لعامة العنقود.

  • الامتناع عن تشغيل Chaos Mesh في بيئات مفتوحة أو بيئات قليلة الحماية.

  • مراقبة سجلات المتصفح والعمليات المرتبطة بـ Chaos Controller Manager لاكتشاف نشاط غير اعتيادي.

  • مراجعة سياسات الوصول داخل العنقود وتقليل الأذونات الممنوحة لحسابات الخدمة المستخدمة من قبل المنصة.

قال شاحار مِناشيه، نائب رئيس أبحاث الأمان في JFrog، إن “المنصات مثل Chaos Mesh تُمنح، بتصميمها، سيطرة كاملة على عنقود Kubernetes، وهذه المرونة يمكن أن تتحول إلى خطر حرج عند اكتشاف ثغرات مثل Chaotic Deputy.”

وسوم
محمد طاهر
محمد طاهر
المقالات: 745

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة