Kritická zranitelnost v Axiosu ohrožuje cloudové infrastruktury přes řetězec útoků
Knihovna Axios ve verzích nižších než 1.15.0 obsahuje kritickou zranitelnost CVE-2026-40175, která útočníkům umožňuje prostřednictvím napadení prototypu provést vzdálené spuštění kódu a převzít AWS prostředky. Veřejné důkazy konceptu jsou již k dispozici, oprava byla vydána – aktualizace je pro všechny uživatele životně důležitá.
Mechanismus využití a rizika
Zranitelnost vzniká kvůli chybějící validaci znaků CR a LF v metodě AxiosHeaders.set. To otevírá cestu pro CRLF injekce, kdy infikované vlastnosti prototypu Objectu projdou do HTTP hlaviček bez filtrování.
Řetězec útoku se typicky začíná kompromitací závislostí jako qs, minimist nebo body-parser. Napadení Object.prototype je následně zděděno knihovnou Axios, což vede k vložení škodlivých hlaviček a rozdělení požadavků. Výsledkem může být přístup ke službě AWS Instance Metadata Service na adrese 169.254.169.254.
Důsledky pro cloudové systémy:
- Získání dočasných IAM tokenů pomocí PUT požadavků.
- Zvýšení oprávnění a eskalace v rámci infrastruktury.
- Úplná kompromitace mikroslužeb a kontejnerů.
Rozšířenost je vysoká: přibližně 39 % z 20 000 aktivních hostitelů v Runetu je zranitelných, skutečný počet je vyšší kvůli skrytému používání ve službách.
Indikátory kompromitace
Monitorování logů pomůže detekovat útoky v rané fázi. Mezi klíčové příznaky patří:
- Abnormální PUT požadavky na 169.254.169.254.
- Manipulace s
__proto__neboconstructor.prototypev hlavičkách. - CRLF sekvence
%0d%0anebo `
` v požadavcích.
- Použití IAM tokenů z neoprávněných IP adres.
- Chyby při parsování hlaviček a HTTP 500 chyby v Node.js.
Opatření k ochraně a kontext problému
Prototype Pollution je známá technika, která využívá dynamickou povahu JavaScriptu. V ekosystému npm takové zranitelnosti v populárních knihovnách jako Axios (60 milionů stažení týdně) představují systémová rizika pro miliony aplikací.
Příčiny vzniku: Nedostatečná striktní validace vstupních dat v hlavičkách. Jde o typický problém dodavatelského řetězce softwaru, kde se třetí strany a jejich závislosti množí.
Dopad na průmysl: Kritické hodnocení CVSS 3.1 (9,9–10,0 bodů) zdůrazňuje hrozbu pro poskytovatele cloudových služeb. Podobné incidenty, jako Log4Shell, ukázaly, jak lokální zranitelnosti mohou eskalovat do globálních krizí.
Doporučení:
- Okamžitě aktualizujte na Axios 1.15.0 s kontrolou
assertValidHeaderValue. - Proveďte audit závislostí pomocí
npm audita SCA nástrojů. - Omezte přístup k IMDS pomocí síťových politik a Security Groups.
- Nastavte WAF pro blokování podezřelých vzorů.
Co je důležité
- Zranitelnost umožňuje RCE prostřednictvím Prototype Pollution a CRLF injekcí, přímo ohrožuje AWS.
- Postihuje všechny verze nižší než 1.15.0; PoC jsou veřejné od 10. dubna 2026.
- 39 % prohledaných hostitelů je zranitelných, riziko podcenění je vysoké.
- Oprava je k dispozici, ale vyžaduje kontrolu celého řetězce závislostí.
- Globální dopad: posiluje potřebu modelu zero-trust v cloudu.
— Editorial Team
Zatím žádné komentáře.