Фундаментальная уязвимость в протоколе HTTP/1.1, сохраняющаяся более шести лет после своего первоначального обнаружения, по-прежнему ставит под угрозу захвата миллионы веб-сайтов по всему миру. К такому тревожному выводу пришли исследователи кибербезопасности из компании PortSwigger, представившие новые данные о масштабах и стойкости угрозы, известной как HTTP Desync-атаки.
Согласно последнему исследованию PortSwigger, протокол HTTP/1.1 сохраняет врожденную небезопасность, регулярно подвергая огромное количество веб-ресурсов риску враждебного захвата. Эксперты не только подтвердили актуальность угрозы, впервые детально раскрытой ими же в 2019 году, но и представили несколько новых классов этих изощренных атак. Эти атаки продемонстрировали критические уязвимости, позволившие скомпрометировать десятки миллионов сайтов путем обхода ключевых механизмов безопасности в инфраструктуре крупных сетей доставки контента (CDN).
Несмотря на постоянные усилия вендоров по внедрению защитных мер за прошедшие годы, исследователям систематически удавалось находить способы их обхода. Это указывает на то, что попытки смягчения последствий, а не устранения коренной причины проблемы, оказались недостаточно эффективными. Суть уязвимости кроется в фатальной конструктивной ошибке HTTP/1.1: протокол позволяет злоумышленникам создавать крайнюю неопределенность относительно того, где заканчивается один HTTP-запрос и начинается следующий.
Эта фундаментальная неоднозначность границ запросов открывает путь для атак типа "request smuggling" (контрабанда запросов). Злоумышленники, используя различия в интерпретации HTTP-запросов между фронтенд-серверами (такими как обратные прокси, балансировщики нагрузки или CDN-сервисы) и бэкенд-серверами (исходными серверами приложений), могут внедрить злонамеренный запрос. Этот запрос выглядит легитимным для систем безопасности на входе, но при этом заставляет бэкенд-сервер выполнить вредоносную операцию, потенциально приводящую к компрометации всего веб-приложения и нижележащей инфраструктуры.
Эксперты единодушно подчеркивают, что решения для устранения этой базовой проблемы существуют. Протоколы HTTP/2 и более поздние версии были разработаны с учетом этого недостатка и устраняют саму возможность возникновения неоднозначности границ запросов, делая desync-атаки практически неосуществимыми. Ключевой момент, однако, заключается в том, что простое включение поддержки HTTP/2 на фронтенд-серверах (например, на CDN или обратном прокси), обращенных к пользователю, недостаточно. Основная уязвимость зачастую сохраняется на критически важных "upstream" соединениях - каналах связи между этими фронтенд-серверами и внутренними (origin) серверами, где до сих пор массово используется устаревший HTTP/1.1.
В ответ на сохраняющуюся угрозу PortSwigger инициировал масштабную кампанию под названием "HTTP/1.1 Must Die: The Desync Endgame". Ее цель - призвать организации к срочному отказу от уязвимого протокола. Исследователи предлагают конкретные практические шаги для немедленного внедрения. Наиболее важной рекомендацией является обязательное включение поддержки HTTP/2 именно для upstream-соединений между прокси-серверами и origin-серверами, а также обеспечение, чтобы сами бэкенд-серверы корректно работали с HTTP/2.
Для организаций, которые пока не могут полностью отказаться от HTTP/1.1 в своих внутренних соединениях, исследователи предлагают ряд промежуточных мер. К ним относится активация всех доступных функций валидации и нормализации HTTP-запросов на фронтенд-системах, рассмотрение возможности отключения повторного использования upstream-соединений (connection reuse), что снижает риск определенных типов атак, и активное взаимодействие с поставщиками инфраструктуры для выяснения четких сроков внедрения полной поддержки HTTP/2 на всех уровнях. Чтобы помочь сообществу в борьбе с этой угрозой, были разработаны и представлены в открытом доступе специализированные инструменты, такие как обновленная версия HTTP Request Smuggler v3.0 и утилита HTTP Hacker. Эти средства предназначены для помощи специалистам по безопасности в регулярном сканировании и выявлении уязвимостей к desync-атакам в собственной инфраструктуре.
Проблема носит системный характер, затрагивая не только отдельные сайты, но и крупнейших мировых провайдеров CDN и облачных сервисов. Широта охвата уязвимости подчеркивает настоятельную необходимость в скоординированных отраслевых усилиях по повсеместному внедрению современных протоколов HTTP. Пока миллионы соединений между компонентами веб-инфраструктуры продолжают использовать HTTP/1.1, риск масштабных инцидентов безопасности, включающих перехват трафика, кражи данных, дефейсы сайтов и атаки на внутренние системы, остается неприемлемо высоким. Устойчивость этой шестилетней угрозы служит тревожным напоминанием о том, что без устранения коренных причин уязвимостей даже самые изощренные митогации могут оказаться лишь временным решением.
