31. März 2026
Beschreibung
Die weit verbreitete JavaScript-Bibliothek axios (HTTP-Client mit über
300 Millionen wöchentlichen Downloads auf npm) wurde durch
kompromittierte Paketversionen als Angriffsvektor missbraucht. Über den
gekaperten npm-Account eines Hauptentwicklers wurden zwei schadhafte
Versionen veröffentlicht: axios(a)1.14.1 und axios(a)0.30.4. Beide
Versionen enthalten eine zusätzliche Abhängigkeit
(plain-crypto-js(a)4.2.1), die beim Installieren automatisch einen Remote
Access Trojaner (RAT) für macOS, Windows und Linux nachlädt. Die
schadhaften Versionen wurden mittlerweile von npm entfernt. Dieser
Vorfall reiht sich in eine Serie von Supply-Chain-Angriffen auf
Softwarepakete ein, über die wir bereits in einem CERT.at
„Aktuelles“ zu Supply Chain Security im CI/CD-Umfeld (Angriffe auf
Xygeni, Trivy, Checkmarx) berichtet haben.
Auswirkungen
Beim Installieren der kompromittierten axios-Versionen wird über ein
postinstall-Skript automatisch und ohne Benutzerinteraktion Kontakt zu
einem Command-and-Control-Server (sfrclak.com:8000) hergestellt und ein
plattformspezifischer RAT heruntergeladen und ausgeführt. Die
Schadsoftware löscht sich nach der Ausführung weitgehend selbst und
ersetzt ihre eigene Konfiguration durch eine unauffällige Version, um
forensische Analyse zu erschweren. Systeme, auf denen eine der
betroffenen Versionen installiert wurde, müssen als vollständig
kompromittiert betrachtet werden.
Darüber hinaus hat die Kompromittierung bereits zu Folgeschäden
geführt: Laut Analyse von Socket wurden weitere npm-Pakete
identifiziert, die die Schadsoftware transitiv weiterverbreiten. Das
Paket @shadanai/openclaw (Versionen 2026.3.28-2, 2026.3.28-3,
2026.3.31-1, 2026.3.31-2) beinhaltet den schadhaften
plain-crypto-js-Payload direkt in einem gebundelten Pfad. Das Paket
@qqbrowser/openclaw-qbot@0.0.130 liefert eine manipulierte axios(a)1.14.1
in seinem node_modules/-Verzeichnis mit. Diese Pakete wurden vermutlich
während des Zeitfensters erstellt, in dem axios(a)1.14.1 die aktuelle
Version war, und haben die schadhafte Abhängigkeit transitiv
übernommen. Darüber hinaus hat sich die Kompromittierung über
JSII-Module auch auf andere Ökosysteme ausgebreitet: Version 0.0.194
des Pakets jjrawlins-cdk-iam-policy-builder-helper ist sowohl auf PyPI
als auch auf NuGet betroffen, da es von der kompromittierten
axios-Version abhängt.
Betroffene Systeme
* Systeme, auf denen axios(a)1.14.1 oder axios(a)0.30.4 per npm
installiert wurde
* CI/CD-Pipelines, in denen während des Zeitraums der
Veröffentlichung (ca. 30. März 2026 00:21 UTC bis 31. März 2026
03:15 UTC) ein npm install ausgeführt wurde und eine der
betroffenen Versionen aufgelöst wurde
* Systeme, auf denen die transitiv betroffenen Pakete
@shadanai/openclaw oder @qqbrowser/openclaw-qbot@0.0.130
installiert wurden
* Systeme, auf denen Version 0.0.194 des Pakets
jjrawlins-cdk-iam-policy-builder-helper über PyPI oder
JJRawlins.CdkIamPolicyBuilderHelper über NuGet installiert wurde
Abhilfe
Die kompromittierten Versionen wurden bereits von npm entfernt. Wer
eine der betroffenen Versionen installiert hat, sollte umgehend
folgende Maßnahmen ergreifen:
* Downgrade auf eine sichere Version: axios(a)1.14.0 (für 1.x) bzw.
axios(a)0.30.3 (für 0.x)
* Verzeichnis node_modules/plain-crypto-js entfernen – dessen
Vorhandensein allein ist bereits ein Hinweis auf eine erfolgte
Kompromittierung, auch wenn die darin enthaltene package.json
unauffällig erscheint
* Systeme auf RAT-Artefakte prüfen: macOS:
/Library/Caches/com.apple.act.mond, Windows: %PROGRAMDATA%\wt.exe,
Linux: /tmp/ld.py
* Bei Fund von RAT-Artefakten: System als vollständig kompromittiert
behandeln und von einem sauberen Zustand neu aufsetzen
* Alle Zugangsdaten rotieren, die auf betroffenen Systemen oder in
betroffenen CI/CD-Pipelines verfügbar waren (npm-Tokens,
SSH-Schlüssel, Cloud-Credentials, Inhalte aus .env-Dateien)
* Den C2-Server sfrclak.com (IP: 142.11.206.73) auf
Netzwerk-/DNS-Ebene blockieren
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
axios Compromised on npm - Malicious Versions Drop Remote Access
Trojan (Englisch)
https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-version…
GitHub Issue #10604 im axios-Repository (Englisch)
https://github.com/axios/axios/issues/10604
Supply Chain Attack on Axios Pulls Malicious Dependency from npm -
Socket (Englisch)
https://socket.dev/blog/axios-npm-package-compromised
ReversingLabs Spectra Assure Community - axios(a)1.14.1 (Englisch)
https://secure.software/npm/packages/axios/1.14.1
CERT.at Blog: Supply Chain Security im CI/CD-Umfeld
https://www.cert.at/de/aktuelles/2026/3/supply-chain-security-im-cicd-umfeld
Mit freundlichen Grüßen,
CERT.at
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
05. März 2026
Beschreibung
Cisco hat am 4. März 2026 mehrere Advisories veröffentlicht, die
insgesamt 17 Schwachstellen in Cisco Secure Firewall Adaptive Security
Appliance (ASA) Software, Cisco Secure Firewall Threat Defense (FTD)
Software und Cisco Secure Firewall Management Center (FMC) Software
adressieren. Darunter befinden sich zwei Schwachstellen mit dem
höchstmöglichen CVSS-Score von 10.0, die das Firewall Management Center
betreffen: Eine ermöglicht die Umgehung der Authentifizierung mit
anschließender Ausführung von Befehlen mit Root-Rechten
(CVE-2026-20079), die andere die Ausführung von beliebigem Code über
das Web-Management-Interface ohne Authentifizierung (CVE-2026-20131).
Die weiteren Schwachstellen betreffen unter anderem
VPN-Funktionalitäten (SSL VPN, IKEv2, IPsec) und ermöglichen
Denial-of-Service-Angriffe, SQL-Injection sowie unbefugten
Dateizugriff.
CVE-Nummer(n): CVE-2026-20079, CVE-2026-20131, CVE-2026-20082,
CVE-2026-20039, CVE-2026-20100, CVE-2026-20101, CVE-2026-20103,
CVE-2026-20105, CVE-2026-20106, CVE-2026-20049, CVE-2026-20013,
CVE-2026-20014, CVE-2026-20015, CVE-2026-20062, CVE-2026-20001,
CVE-2026-20002, CVE-2026-20003
CVSS Base Score: bis zu 10.0
Auswirkungen
Durch Ausnutzen der Schwachstellen können Angreifer:innen unter anderem
ohne Authentifizierung beliebigen Code mit Root-Rechten auf dem
Firewall Management Center ausführen, die Authentifizierung umgehen,
SQL-Injection-Angriffe durchführen sowie Denial-of-Service-Zustände auf
ASA- und FTD-Geräten herbeiführen, die einen manuellen Neustart
erfordern können. Einige Schwachstellen ermöglichen darüber hinaus
unbefugten Zugriff auf Dateien.
Betroffene Systeme
* Cisco Secure Firewall Adaptive Security Appliance (ASA) Software
* Cisco Secure Firewall Threat Defense (FTD) Software
* Cisco Secure Firewall Management Center (FMC) Software
* Cisco Security Cloud Control (SCC) Firewall Management (nur
CVE-2026-20131)
Abhilfe
Cisco stellt aktualisierte Softwareversionen bereit, die die
Schwachstellen beheben. CERT.at empfiehlt die zeitnahe Aktualisierung
auf eine bereinigte Version. Zur Ermittlung der betroffenen und
bereinigten Versionen stellt Cisco den [103]Cisco Software Checker zur
Verfügung. Workarounds stehen für die beschriebenen Schwachstellen
nicht zur Verfügung. Für die ASA-Software-Version 9.20.4.14 ist ein
Update auf Version 9.20.4.19 erforderlich (CVE-2026-20082).
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Cisco Event Response: March 2026 Semiannual Cisco Secure Firewall ASA,
Secure FMC, and Secure FTD Software Security Advisory Bundled
Publication (Englisch)
https://sec.cloudapps.cisco.com/security/center/viewErp.x?alertId=ERP-76641
Cisco Security Advisory: FMC Authentication Bypass -
cisco-sa-onprem-fmc-authbypass-5JPp45V2 (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
Cisco Security Advisory: FMC Remote Code Execution -
cisco-sa-fmc-rce-NKhnULJh (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
Cisco Security Advisory: ASA TCP Flood DoS - cisco-sa-asa-dos-FCvLD6vR
(Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
Cisco Security Advisory: ASA/FTD VPN Web Server DoS -
cisco-sa-asaftd-vpn-dos-SpOFF2Re (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
Cisco Security Advisory: ASA/FTD Remote Access SSL VPN DoS -
cisco-sa-asaftd-vpn-m9sx6MbC (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
Cisco Security Advisory: FMC SQL Injection -
cisco-sa-fmc-sql-injection-2qH6CcJd (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
Cisco Security Advisory: ASA/FTD IPsec DoS -
cisco-sa-asaftd-esp-dos-uv7yD8P5 (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
Cisco Security Advisory: ASA/FTD IKEv2 DoS -
cisco-sa-asaftd-ikev2-dos-eBueGdEG (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
Cisco Security Advisory: ASA Multiple Context Mode SCP File Access -
cisco-sa-asa-scpcxt-filecpy-rgeP73nE (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso…
Mit freundlichen Grüßen,
Michael Schlagenhaufer
--
// Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien