Pesquisadores de segurança revelaram uma vulnerabilidade fundamental no HTTP/1.1 que pode permitir que invasores sequestrem milhões de sites, destacando uma ameaça persistente que atormenta a infraestrutura da web há mais de seis anos, apesar dos esforços contínuos de mitigação.
A pesquisa mais recente da PortSwigger Revela que o HTTP/1.1 permanece inerentemente inseguro, expondo rotineiramente milhões de sites a aquisições hostis por meio de sofisticados ataques de dessincronização HTTP.
A empresa de segurança cibernética introduziu várias novas classes desses ataques, demonstrando vulnerabilidades críticas que comprometeram dezenas de milhões de sites, subvertendo a infraestrutura central em várias redes de entrega de conteúdo (CDNs).
Apesar dos fornecedores implantarem várias mitigações nos últimos seis anos, os pesquisadores contornaram consistentemente essas medidas de proteção.
A ameaça ganhou destaque pela primeira vez quando o PortSwigger a divulgou em 2019, mas pouco mudou fundamentalmente na abordagem da causa raiz da vulnerabilidade.
Raiz técnica do problema
O problema central decorre da falha fatal de design do HTTP/1.1: o protocolo permite que os invasores criem ambiguidade extrema sobre onde uma solicitação termina e a próxima começa.
Essa ambiguidade permite que agentes mal-intencionados manipulem os limites da solicitação, levando a ataques de contrabando de solicitações que podem comprometer todo o Aplicativos da Web e sua infraestrutura subjacente.
Esses ataques exploram as diferenças na forma como vários servidores e sistemas proxy interpretam as solicitações HTTP, permitindo que os invasores injetem solicitações maliciosas que parecem legítimas para os sistemas de segurança enquanto executam operações prejudiciais em servidores de back-end.
O HTTP/2 e versões posteriores eliminam essa ambiguidade fundamental, tornando os ataques de dessincronização virtualmente impossíveis. No entanto, especialistas em segurança enfatizam que simplesmente habilitar o HTTP/2 em servidores de borda é insuficiente.
O requisito crítico é implementar o HTTP/2 para conexões upstream entre proxies reversos e servidores de origem, onde muitas vulnerabilidades persistem devido à dependência contínua do HTTP/1.1.
A PortSwigger lançou uma iniciativa abrangente intitulada “HTTP/1.1 Must Die: The Desync Endgame”, pedindo às organizações que façam a transição do protocolo vulnerável.
A pesquisa inclui recomendações práticas para implementação imediata, incluindo a habilitação do suporte upstream HTTP/2 e a garantia de que os servidores de origem possam lidar com o protocolo mais recente.
Para organizações que ainda dependem do HTTP/1.1, os pesquisadores recomendam implementar os recursos de validação e normalização de solicitações disponíveis em sistemas front-end, considerando desabilitar a reutilização de conexão upstream e se envolver ativamente com fornecedores sobre cronogramas de suporte HTTP/2.
A comunidade de segurança cibernética desenvolveu ferramentas de código aberto, incluindo HTTP Request Smuggler v3.0 e Referências HTTP Hacker para ajudar as organizações a identificar e se defender contra essas ameaças por meio de verificações de segurança recorrentes.
Essa vulnerabilidade afeta um amplo espectro de infraestrutura da web, desde sites individuais até os principais provedores de CDN, destacando a necessidade urgente de adoção de protocolos HTTP modernos em todo o setor para garantir a segurança da web.
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça