Krytyczna luka w Axios zagraża infrastrukturze chmurowej przez łańcuch ataków
Biblioteka Axios w wersjach starszych niż 1.15.0 zawiera krytyczną lukę CVE-2026-40175, która umożliwia atakującym wykorzystanie zanieczyszczenia prototypu do zdalnego wykonywania kodu i przejęcia zasobów AWS. Publiczne dowody koncepcji są już dostępne, a aktualizacja została wydana — aktualizacja jest krytyczna dla wszystkich użytkowników.
Mechanizm wykorzystania i ryzyka
Luka wynika z braku walidacji znaków CR i LF w metodzie AxiosHeaders.set. To otwiera drogę do iniekcji CRLF, gdy zanieczyszczone właściwości prototypu Object są przekazywane w nagłówkach HTTP bez filtrowania.
Łańcuch ataku zwykle zaczyna się od kompromitacji zależności takich jak qs, minimist czy body-parser. Zanieczyszczenie Object.prototype jest dziedziczone przez Axios, co prowadzi do wprowadzania złośliwych nagłówków i dzielenia żądań. W efekcie możliwy jest dostęp do AWS Instance Metadata Service pod adresem 169.254.169.254.
Skutki dla systemów chmurowych:
- Uzyskanie tymczasowych tokenów IAM poprzez żądania PUT.
- Eskalacja uprawnień i dostępu w infrastrukturze.
- Pełna kompromitacja mikroserwisów i kontenerów.
Zagrożenie ma duży zasięg: około 39% z 20 000 aktywnych hostów w Rosji jest narażonych, a rzeczywista liczba może być większa ze względu na ukryte wykorzystanie w usługach.
Wskaźniki kompromitacji
Monitorowanie logów pozwala wykryć ataki na wczesnym etapie. Oto kluczowe sygnały:
- Anomalne żądania PUT do 169.254.169.254.
- Manipulacje
__proto__lubconstructor.prototypew nagłówkach. - Sekwencje CRLF
%0d%0alub\r\nw żądaniach. - Wykorzystanie tokenów IAM z nieautoryzowanych adresów IP.
- Błędy parsowania nagłówków i błędy HTTP 500 w Node.js.
Środki ochrony i kontekst problemu
Zanieczyszczenie prototypu (Prototype Pollution) to znana technika wykorzystująca dynamiczną naturę JavaScript. W ekosystemie npm takie luki w popularnych bibliotekach jak Axios (60 mln pobrań tygodniowo) stwarzają systematyczne zagrożenia dla milionów aplikacji.
Przyczyny powstania: Brak rygorystycznej walidacji danych wejściowych w nagłówkach. Jest to typowy problem łańcucha dostaw oprogramowania, gdzie zależności trzecich stron się mnożą.
Wpływ na branżę: Krytyczny rating CVSS 3.1 (9,9–10,0 punktu) podkreśla zagrożenie dla dostawców chmury. Podobne incydenty, takie jak Log4Shell, pokazały, jak lokalne luki mogą eskalować do globalnych kryzysów.
Rekomendacje:
- Natychmiast zaktualizuj do Axios 1.15.0 z funkcją
assertValidHeaderValue. - Przeprowadź audyt zależności za pomocą
npm auditi narzędzi SCA. - Ogranicz dostęp do IMDS poprzez polityki sieciowe i Security Groups.
- Skonfiguruj WAF w celu blokowania podejrzanych wzorców ruchu.
Co ważne
- Luka umożliwia RCE poprzez zanieczyszczenie prototypu i iniekcję CRLF, bezpośrednio zagrażając AWS.
- Dotyczy wszystkich wersji starszych niż 1.15.0; dowody koncepcji publiczne od 10 kwietnia 2026 r.
- 39% zeskanowanych hostów jest narażonych, ryzyko niedoszacowania jest wysokie.
- Poprawka jest dostępna, ale wymaga analizy całego łańcucha zależności.
- Znaczenie globalne: podkreśla potrzebę podejścia zero-trust w chmurze.
— Editorial Team
Brak komentarzy.