Powrót do strony głównej

Luka Axios CVE-2026-40175: ryzyka dla AWS

Krytyczna luka CVE-2026-40175 w bibliotece Axios pozwala poprzez Prototype Pollution i wstrzykiwanie CRLF uzyskać dostęp do AWS IMDS i tokenów IAM. Dotyczy wersji poniżej 1.15.0, publiczne PoC dostępne. Zalecane natychmiastowe aktualizacje i audyt zależności w celu minimalizacji ryzyk.

Luka Axios: ścieżka do kompromitacji chmury ujawniona
Advertisement 728x90

Krytyczna luka w Axios zagraża infrastrukturze chmurowej przez łańcuch ataków

Biblioteka Axios w wersjach starszych niż 1.15.0 zawiera krytyczną lukę CVE-2026-40175, która umożliwia atakującym wykorzystanie zanieczyszczenia prototypu do zdalnego wykonywania kodu i przejęcia zasobów AWS. Publiczne dowody koncepcji są już dostępne, a aktualizacja została wydana — aktualizacja jest krytyczna dla wszystkich użytkowników.

Mechanizm wykorzystania i ryzyka

Luka wynika z braku walidacji znaków CR i LF w metodzie AxiosHeaders.set. To otwiera drogę do iniekcji CRLF, gdy zanieczyszczone właściwości prototypu Object są przekazywane w nagłówkach HTTP bez filtrowania.

Łańcuch ataku zwykle zaczyna się od kompromitacji zależności takich jak qs, minimist czy body-parser. Zanieczyszczenie Object.prototype jest dziedziczone przez Axios, co prowadzi do wprowadzania złośliwych nagłówków i dzielenia żądań. W efekcie możliwy jest dostęp do AWS Instance Metadata Service pod adresem 169.254.169.254.

Google AdInline article slot

Skutki dla systemów chmurowych:

  • Uzyskanie tymczasowych tokenów IAM poprzez żądania PUT.
  • Eskalacja uprawnień i dostępu w infrastrukturze.
  • Pełna kompromitacja mikroserwisów i kontenerów.

Zagrożenie ma duży zasięg: około 39% z 20 000 aktywnych hostów w Rosji jest narażonych, a rzeczywista liczba może być większa ze względu na ukryte wykorzystanie w usługach.

Wskaźniki kompromitacji

Monitorowanie logów pozwala wykryć ataki na wczesnym etapie. Oto kluczowe sygnały:

Google AdInline article slot
  • Anomalne żądania PUT do 169.254.169.254.
  • Manipulacje __proto__ lub constructor.prototype w nagłówkach.
  • Sekwencje CRLF %0d%0a lub \r\n w żądaniach.
  • Wykorzystanie tokenów IAM z nieautoryzowanych adresów IP.
  • Błędy parsowania nagłówków i błędy HTTP 500 w Node.js.

Środki ochrony i kontekst problemu

Zanieczyszczenie prototypu (Prototype Pollution) to znana technika wykorzystująca dynamiczną naturę JavaScript. W ekosystemie npm takie luki w popularnych bibliotekach jak Axios (60 mln pobrań tygodniowo) stwarzają systematyczne zagrożenia dla milionów aplikacji.

Przyczyny powstania: Brak rygorystycznej walidacji danych wejściowych w nagłówkach. Jest to typowy problem łańcucha dostaw oprogramowania, gdzie zależności trzecich stron się mnożą.

Wpływ na branżę: Krytyczny rating CVSS 3.1 (9,9–10,0 punktu) podkreśla zagrożenie dla dostawców chmury. Podobne incydenty, takie jak Log4Shell, pokazały, jak lokalne luki mogą eskalować do globalnych kryzysów.

Google AdInline article slot

Rekomendacje:

  • Natychmiast zaktualizuj do Axios 1.15.0 z funkcją assertValidHeaderValue.
  • Przeprowadź audyt zależności za pomocą npm audit i narzędzi SCA.
  • Ogranicz dostęp do IMDS poprzez polityki sieciowe i Security Groups.
  • Skonfiguruj WAF w celu blokowania podejrzanych wzorców ruchu.

Co ważne

  • Luka umożliwia RCE poprzez zanieczyszczenie prototypu i iniekcję CRLF, bezpośrednio zagrażając AWS.
  • Dotyczy wszystkich wersji starszych niż 1.15.0; dowody koncepcji publiczne od 10 kwietnia 2026 r.
  • 39% zeskanowanych hostów jest narażonych, ryzyko niedoszacowania jest wysokie.
  • Poprawka jest dostępna, ale wymaga analizy całego łańcucha zależności.
  • Znaczenie globalne: podkreśla potrzebę podejścia zero-trust w chmurze.

— Editorial Team

Advertisement 728x90

Czytaj dalej