Специалисты по безопасности выявили новый вектор атаки, использующий расхождения в синтаксическом анализе HTTP-запросов между интерфейсными компонентами сети (например, CDN и балансировщиками нагрузки) и внутренними серверами. Эта техника, называемая smuggling HTTP-запросов, эксплуатирует особенности реализации протокола HTTP/1.1 и отсутствие единого консенсуса относительно границ запросов.
Суть уязвимости
Уязвимость появляется из-за того, что границы HTTP-запросов могут определяться несколькими методами, включая заголовок Content-Length и Transfer-Encoding. Различные компоненты стека могут по-разному интерпретировать фрагментированные или нестандартно сформированные заголовки, что приводит к _несоответствию синтаксического анализа_ и ошибочной разбивке потока запросов.
«Атака использует фундаментальные расхождения в интерпретации протокола между компонентами сети: то, что один элемент считает окончанием запроса, другой может трактовать как продолжение», — отмечают исследователи.
Почему это опасно
Последствия таких расхождений серьёзны:
- злоумышленник может отправлять вредоносные запросы, которые по-разному интерпретируются фронтендом и бекендом,
- возможен обход механизмов безопасности и WAF-правил, если фронтенд «передаёт» некорректно разделённый поток запросов на нижестоящий сервер,
- атакующий получает возможность воздействовать на нижестоящие сервисы, в том числе совершать request smuggling и смежные атаки, влияющие на целостность и доступность приложений.
Почему это происходит
Основная причина — изменчивые реализации спецификаций HTTP. Серверы и сетевые компоненты, созданные на основе разных интерпретаций релевантных RFC, иногда демонстрируют слабую реализацию синтаксического анализа редко используемых или неоднозначно специфицированных конструкций протокола. В результате появляются “щели” в цепочке обработки запросов, подходящие для smuggling-атак.
Действия и рекомендации
В ответ на обнаружение уязвимости производители и разработчики развертывают комплексные исправления безопасности. Эксперты рекомендуют организациям принять следующие меры:
- Своевременно применять обновления и security-пatches от поставщиков инфраструктуры и веб-серверов;
- Проверить и обновить конфигурации WAFS и готовых решений WAF — современные версии и патчи должны защищать от описанного вектора;
- Осуществлять аудит цепочки обработки HTTP-запросов: CDN → балансировщик → внутренний сервер, чтобы убедиться в единообразии синтаксического анализа;
- Включить и мониторить логи на предмет нестандартных или фрагментированных заголовков, а также подозрительной последовательности запросов;
- Проводить регулярное тестирование на наличие request smuggling в контролируемой среде (red team, pentest);
- Следовать рекомендациям производителей и работать с вендорами при возникновении сомнений в корректности обработки заголовков.
Перспективы и требования к мониторингу
Пока разворачиваются исправления, критически важно поддерживать постоянный мониторинг возможных вариантов атаки. Новые реализации и патчи могут закрыть текущие векторы, но оставляют пространство для появления модификаций техники. Организациям следует рассматривать это обнаружение как напоминание о необходимости упреждающего подхода к безопасности в условиях постоянно меняющегося ландшафта угроз.
Коротко о главном: смещение в понимании границ HTTP/1.1 между компонентами сети даёт злоумышленникам возможность для smuggling-атак; обновления и современные WAF-решения снижают риск, однако регулярный аудит и мониторинг остаются обязательными.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Smuggling HTTP/1.1: рассогласование парсинга CDN и внутренних серверов".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.