HTTP/1.1 снова под ударом: уязвимость угрожает миллионам сайтов
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

HTTP/1.1 снова под ударом: уязвимость угрожает миллионам сайтов

Екатерина Быстрова 08 Августа 2025 - 12:57
...
HTTP/1.1 снова под ударом: уязвимость угрожает миллионам сайтов

Исследователи из PortSwigger снова подняли тревогу: устаревший протокол HTTP/1.1 по-прежнему таит в себе серьёзную уязвимость, из-за которой под ударом оказываются миллионы сайтов. Несмотря на то что о проблеме известно уже с 2019 года, корневая причина так и не устранена.

Речь идёт о так называемых HTTP desync-атаках — когда злоумышленник отправляет специально оформленные запросы, которые сервер и прокси-системы интерпретируют по-разному.

В итоге можно «впихнуть» вредоносный запрос, который обходит защиту и выполняется на бэкенде как нормальный. Такие атаки используют расхождения в обработке HTTP-заголовков — особенно в том, где один запрос заканчивается и начинается следующий. И эта путаница заложена в саму архитектуру HTTP/1.1.

Что ещё хуже — даже те меры защиты, которые разработчики вводили за последние шесть лет, исследователям удавалось обойти. И не один раз.

Команда PortSwigger опубликовала новую волну исследований, показав, что десинхронизация до сих пор работает — и позволяет атаковать даже крупные CDN и десятки миллионов сайтов. Они призывают к радикальным мерам: полностью отказаться от HTTP/1.1. Кампания даже получила громкое название — «HTTP/1.1 Must Die: The Desync Endgame».

По словам специалистов, просто включить HTTP/2 на внешних серверах недостаточно. Уязвимость кроется глубже — в соединениях между реверс-прокси и самими серверами приложений. Если эти внутренние звенья всё ещё используют HTTP/1.1, атака возможна.

Что делать? Вот рекомендации исследователей:

  • Внедрить поддержку HTTP/2 не только на границе, но и на всех внутренних каналах между прокси и сервером;
  • Убедиться, что backend умеет работать с HTTP/2;
  • Если отказаться от HTTP/1.1 пока не получается — включить проверку и нормализацию HTTP-запросов на фронте;
  • По возможности отключить повторное использование соединений на промежуточных участках;
  • И, конечно, поговорить с поставщиками решений: поддерживают ли они безопасную работу через HTTP/2.

Кроме того, в сообществе уже появились инструменты, которые помогут проверять свои ресурсы на уязвимость — например, HTTP Request Smuggler v3.0 и HTTP Hacker. Эти утилиты пригодятся для регулярных сканирований и укрепления защиты.

Главный вывод: пора уходить от HTTP/1.1. Чем дольше индустрия тянет с переходом на современные протоколы, тем больше шансов, что уязвимости продолжат использовать. И никакие заплатки здесь уже не помогут.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Шпионы атакуют ВС Белоруссии, используя бэкдор, работающий через Tor
Татьяна Никитина 01 Ноября 2025 - 15:22
БэкдорыЦелевые атакиТаргетированные атаки Государство
Шпионы атакуют ВС Белоруссии, используя бэкдор, работающий через Tor

Исследователи из Cyble обнаружили необычный Windows-бэкдор, раздаваемый под видом уведомления о переподготовке белорусских военнослужащих для нужд недавно созданных войск беспилотных авиационных комплексов.

Целью атак с применением зловреда, открывающего SSH-доступ через Tor, по всей видимости, является шпионаж.

Анализ показал, что распространяемый злоумышленниками документ «ТЛГ на убытие на переподготовку.pdf» на самом деле является архивным файлом, содержащим LNK с тем же русскоязычным именем и скрытую папку FOUND.000.

Ее содержимым оказался вложенный persistentHandlerHashingEncodingScalable.zip, который с помощью PowerShell-команд, встроенных в LNK, распаковывается в специально созданную папку %appdata%\logicpro.

При запуске вредонос вначале проверяет систему на наличие песочниц и автоматизированных средств анализа. При обнаружении враждебной среды дальнейшее исполнение откатывается; при благоприятном стечении обстоятельств жертве отображается маскировочный PDF-документ, а остальные действия выполняются в фоне.

 

Чтобы обеспечить себе постоянное присутствие, зловред с помощью командлета Register-ScheduledTask создает запланированные задания — на свой запуск при первом же входе жертвы в систему, а потом ежедневно в 10:21 AM UTC (13:21 по Москве).

Когда он активен, на порту 20321оживает служба SSH стараниями githubdesktop.exe, подписанного Microsoft (Windows-версия OpenSSH); удаленный доступ при этом возможен лишь по ключу RSA (публичный вшит в код зловреда). Дополнительно запускается SFTP с кастомными настройками для вывода данных.

Параллельно создается скрытый сервис Tor и организуется проброс портов для ряда Windows-служб с тем, чтобы обеспечить оператору анонимный доступ к различным системным ресурсам (в том числе по RDP и SMB).

Подключение к Tor реализовано через транспортный протокол obfs4, использующий шифрование. Подобный трюк позволяет скрыть вредоносный трафик, выдав его за обычную сетевую активность.

 

Найденный образец, по словам аналитиков, несколько похож на инструменты, используемые APT-группы Sandworm. Попыток загрузки дополнительного пейлоада или постэксплуатации тестирование не выявило.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Kaspersky протянула руку помощи колледжам в подготовке специалистов по ИБ
Новость
Kaspersky протянула руку помощи колледжам в подготовке специ...
В iOS 26 исчез журнал, по которому находили шпионов Pegasus и Predator
Новость
В iOS 26 исчез журнал, по которому находили шпионов Pegasus...
Обнаружено 64 фейковых ресурса в сфере элитной недвижимости
Новость
Обнаружено 64 фейковых ресурса в сфере элитной недвижимости

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.