Kritische Axios-Sicherheitslücke gefährdet Cloud-Infrastrukturen durch Angriffskette
Axios-Versionen vor 1.15.0 enthalten eine kritische Sicherheitsanfälligkeit, CVE-2026-40175, die Angreifern Remote-Code-Ausführung ermöglicht und AWS-Ressourcen über Prototype Pollution kompromittieren kann. Öffentlich verfügbare Proof-of-Concept-(PoC)-Exploits existieren bereits, und ein Patch wurde veröffentlicht – sofortige Aktualisierungen sind für alle Nutzer unerlässlich.
Funktionsweise der Ausnutzung und Risiken
Die Schwachstelle resultiert aus unzureichender Validierung von CR- und LF-Zeichen in der Methode AxiosHeaders.set. Dadurch wird CRLF-Injektion möglich, wenn manipulierte Objekt-Prototyp-Eigenschaften ungefiltert in HTTP-Header eingefügt werden.
Die Angriffskette beginnt typischerweise mit der Kompromittierung von Abhängigkeiten wie qs, minimist oder body-parser. Sobald Object.prototype verunreinigt ist, übernimmt Axios diese beschädigten Eigenschaften, was zu bösartigen Header-Injektionen und HTTP-Anfrage-Splitting führt. Angreifer können dadurch auf den AWS Instance Metadata Service unter 169.254.169.254 zugreifen.
Auswirkungen auf Cloud-Umgebungen:
- Abruf temporärer IAM-Token mittels PUT-Anfragen.
- Erhöhung der Rechte innerhalb der Infrastruktur.
- Vollständige Übernahme von Microservices und Containern.
Die Sicherheitslücke ist weit verbreitet: Etwa 39 % von 20.000 aktiven Hosts, die im russischsprachigen Internet gescannt wurden, sind betroffen; die tatsächliche Zahl ist aufgrund verborgener Nutzung in Backend-Diensten wahrscheinlich höher.
Hinweise auf Kompromittierung
Das Monitoring von Logs kann helfen, Angriffe frühzeitig zu erkennen. Wichtige Warnsignale sind:
- Ungewöhnliche PUT-Anfragen an 169.254.169.254.
- Manipulation von
__proto__oderconstructor.prototypein Headern. - Vorhandensein von CRLF-Sequenzen wie
%0d%0aoder\r\nin Anfragen. - Unbefugte Nutzung von IAM-Tokens von unerwarteten IP-Adressen.
- Fehler beim Parsen von Headern und HTTP-500-Antworten in Node.js-Anwendungen.
Minderungsmaßnahmen und Kontext
Prototype Pollution ist eine bekannte Technik, die die dynamische Natur von JavaScript ausnutzt. Im npm-Ökosystem bergen Schwachstellen in weitverbreiteten Bibliotheken wie Axios (mit über 60 Millionen wöchentlichen Downloads) systemische Risiken für Millionen von Anwendungen.
Ursachen: Fehlende strikte Eingabekontrolle bei HTTP-Headern. Dies verdeutlicht allgemeinere Herausforderungen in der Software-Beschaffungskette, bei denen Drittanbieter-Abhängigkeiten stillschweigend verbreitet werden.
Branchenweite Auswirkungen: Ein CVSS-3.1-Score von 9,9–10,0 unterstreicht die Schwere für Cloud-Anbieter. Frühere Vorfälle wie Log4Shell zeigten bereits, wie lokale Schwachstellen sich zu globalen Bedrohungen entwickeln können.
Empfohlene Maßnahmen:
- Sofortige Aktualisierung auf Axios 1.15.0, das
assertValidHeaderValue-Prüfungen enthält. - Audit der Abhängigkeiten mithilfe von
npm auditund SCA-Tools. - Zugriff auf IMDS durch Netzwerkrichtlinien und Security Groups einschränken.
- WAF-Regeln konfigurieren, um verdächtige Muster zu blockieren.
Wichtigste Erkenntnisse
- Die Lücke ermöglicht RCE durch Prototype Pollution und CRLF-Injektion und gefährdet AWS-Workloads direkt.
- Betroffen sind alle Versionen vor 1.15.0; öffentliche PoCs sind seit dem 10. April 2026 verfügbar.
- 39 % der geprüften Hosts sind weiterhin gefährdet – die Risiken zu unterschätzen, ist gefährlich.
- Patches sind verfügbar, erfordern aber die vollständige Überprüfung der Abhängigkeitskette.
- Weitreichende Konsequenz: Belegt die Notwendigkeit von Zero-Trust-Architekturen in Cloud-Umgebungen.
— Editorial Team
Noch keine Kommentare.