Un sofisticado ataque de contrabando HTTP que explota comportamientos de análisis inconsistentes entre los servidores proxy frontales y los servidores de aplicaciones de back-end.
Esta técnica recientemente descubierta aprovecha las extensiones de codificación de transferencia fortuosa malformada para evitar controles de seguridad establecidos e inyectar solicitudes secundarias no autorizadas en aplicaciones web.
Control de llave
1. Exploits Codificación de fragmentación HTTP malformada para crear discrepancias de análisis front-end/back-end.
2. Evite los controles de seguridad inyectando solicitudes secundarias ocultas.
3. Aplique parches y migra al protocolo HTTP/2.
El ataque se dirige a una vulnerabilidad fundamental en la implementación del protocolo HTTP/1.1, donde diferentes servidores interpretan la solicitud ambigua formateo de manera inconsistente.
Los atacantes pueden explotar estas discrepancias de análisis para eludir los firewalls de aplicaciones web (WAF), las redes de entrega de contenido (CDN) y los equilibradores de carga, lo que puede obtener acceso no autorizado a recursos de backend confidenciales.
Vulnerabilidad de contrabando http
Imperva informa que el mecanismo de ataque se centra en la función de codificación de transferencia de HTTP/1.1, que permite que los cuerpos de mensajes se transmitan en segmentos utilizando la codificación de transferencia: encabezado fortado.
Ecodificación de transferencia: encabezado fragmentado
Según las especificaciones de RFC 9112, cada fragmento incluye un encabezado que contiene el tamaño en formato hexadecimal, seguido de extensiones de fragmento opcionales con prefijo con semicolones.
Investigadores descubierto Que los atacantes pueden manipular el análisis de la extensión del fragmento enviando encabezados malformados que contienen semicolones desnudos sin los nombres de extensión adecuados.
Esto crea una discrepancia crítica de análisis en la que los sistemas frontales interpretan la sintaxis malformada de manera diferente a los servidores de backend.
La secuencia de ataque sigue este patrón: el atacante envía una línea de tamaño de fragmento que termina con un punto y coma pero sin nombre de extensión, lo que hace que el analizador frontal trate la secuencia completa como una sola solicitud, mientras que el analizador de backend interpreta la nueva línea después de la semicolona como que marca el final del encabezado.
Solicitud de contrabando
Esto permite a los atacantes incrustar solicitudes HTTP secundarias después de fragmentos de longitud cero, que los sistemas de back-end se procesan como solicitudes separadas legítimas, sin pasar por alto la validación de seguridad frontal.
La vulnerabilidad proviene de las debilidades de diseño inherentes de HTTP/1.1, particularmente su dependencia del análisis basado en texto y múltiples métodos para expresar los límites de mensajes a través de encabezados de longitud de contenido, especificaciones de codificación de transferencia o delimitadores.
Muchas implementaciones del servidor priorizan la compatibilidad sobre el cumplimiento estricto de RFC, lo que lleva a un análisis indulgente de solicitudes malformadas que crean inconsistencias explotables.
Los expertos en seguridad enfatizan que se han implementado parches integrales en los sistemas afectados, y las organizaciones mantienen las versiones de software actuales que reciben protección completa contra este vector de ataque.
Sin embargo, la mitigación a largo plazo más efectiva implica migrar a HTTP/2, que emplea mecanismos de encuadre binarios que eliminan los escenarios ambiguos de análisis, lo que permite solicitar ataques de contrabando.
Esto refuerza la importancia crítica de las consideraciones de seguridad a nivel de protocolo y destaca las vulnerabilidades fundamentales de HTTP/1.1 que continúan permitiendo técnicas de derivación sofisticadas a pesar de las medidas de protección existentes.
Detonar de forma segura archivos sospechosos para descubrir amenazas, enriquecer sus investigaciones y reducir el tiempo de respuesta de incidentes. Comience con una prueba de Sandbox Anyrun →
