Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar
Red Hot Cyber Academy

¡HTTP/1.1 debe desaparecer! Vulnerabilidades críticas ponen en riesgo millones de sitios web.

Redazione RHC : 8 agosto 2025 17:10

Expertos en seguridad han revelado una falla crítica de seguridad en HTTP/1.1, lo que pone de relieve una amenaza que ha seguido afectando a la infraestructura web durante más de seis años, potencialmente afectando a millones de sitios web a pesar de los continuos esfuerzos para contenerla. Investigadores de PortSwigger revelan que HTTP/1.1 sigue siendo inherentemente inseguro, exponiendo regularmente a millones de sitios web a intentos de adquisición hostil mediante sofisticados ataques de desincronización HTTP.

La empresa de ciberseguridad informó sobre la introducción de varios tipos nuevos de este tipo de ataques, que expusieron fallas críticas, afectaron a decenas de millones de sitios web y debilitaron la infraestructura principal de múltiples redes de entrega de contenido (CDN). A pesar de los esfuerzos de los proveedores, que han implementado diversas estrategias de contención durante los últimos seis años, los investigadores han logrado superar sistemáticamente las barreras de protección.

La amenaza fue descubierta por primera vez por PortSwigger en 2019, pero solo se han realizado cambios mínimos en la causa subyacente de la vulnerabilidad. Una falla crítica de diseño en HTTP/1.1 es la raíz del problema: el protocolo permite a los atacantes crear una ambigüedad extrema sobre dónde termina una solicitud y dónde comienza la siguiente.

Esta ambigüedad permite a los atacantes modificar los límites de las solicitudes, generando así ataques de contrabando de solicitudes que pueden socavar la integridad de aplicaciones web completas y la infraestructura que las soporta. Estos ataques explotan las diferencias en la interpretación de las solicitudes HTTP por parte de distintos servidores y sistemas proxy, lo que permite a los atacantes insertar solicitudes maliciosas que parecen legítimas para los sistemas de seguridad, pero que en realidad realizan operaciones maliciosas en servidores backend.

Las versiones posteriores de HTTP/2 prácticamente eliminan cualquier ambigüedad fundamental, lo que dificulta enormemente los ataques de desincronización. Sin embargo, los expertos en seguridad señalan que habilitar HTTP/2 solo en servidores de borde es insuficiente. Implementar HTTP/2 para conexiones directas a servidores de origen a través de proxies inversos es crucial, ya que persisten muchas vulnerabilidades debido a la continua dependencia de HTTP/1.1.

PortSwigger ha lanzado una iniciativa integral titulada «HTTP/1.1 Must Die: The Desync Endgame» (El fin de la desincronización), que insta a las organizaciones a abandonar este protocolo vulnerable. La investigación incluye recomendaciones prácticas para la implementación inmediata, como habilitar la compatibilidad con HTTP/2 ascendente y garantizar que los servidores de origen puedan manejar el protocolo más reciente.

Para las organizaciones que aún dependen de HTTP/1.1, los investigadores recomiendan implementar las capacidades de validación y normalización de solicitudes disponibles en los sistemas front-end, considerar la posibilidad de deshabilitar la reutilización de conexiones ascendentes y colaborar activamente con los proveedores en relación con los plazos de compatibilidad con HTTP/2.

Esta vulnerabilidad afecta a un amplio espectro de infraestructuras web, desde sitios web individuales hasta los principales proveedores de CDN, lo que pone de relieve la urgente necesidad de que toda la industria adopte protocolos HTTP modernos para garantizar la seguridad web.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

¡HTTP/1.1 debe desaparecer! Vulnerabilidades críticas ponen en riesgo millones de sitios web.
Di Redazione RHC - 08/08/2025

Expertos en seguridad han revelado una falla crítica de seguridad en HTTP/1.1, lo que pone de relieve una amenaza que ha seguido afectando a la infraestructura web durante más de seis añ...

Una nueva técnica de escalada de privilegios (PE) permite omitir el UAC en Windows
Di Redazione RHC - 08/08/2025

Un descubrimiento reciente ha revelado una sofisticada técnica que elude el Control de Cuentas de Usuario (UAC) de Windows, lo que permite la escalada de privilegios sin la intervención del ...

Pánico por la IA: estamos entrando en la fase más peligrosa de la revolución digital
Di Redazione RHC - 08/08/2025

En los últimos meses, el debate sobre la inteligencia artificial ha adquirido tintes cada vez más extremos. Por un lado, las grandes empresas que desarrollan y venden soluciones de IA est&#x...

¿Qué son los sitios de filtración de datos de bandas de ransomware?
Di Redazione RHC - 07/08/2025

Los sitios de filtración de datos (DLS) de bandas de ransomware representan una amenaza cada vez más extendida para las empresas y las personas que utilizan Internet. Estos sitios fueron cre...

Descubriendo la Deep Web y la Dark Web: La guía definitiva
Di Antonio Piovesan - 07/08/2025

Desde hace algunos años se habla mucho sobre la deep web y la dark web, y muchos se preguntan: ¿pero qué significa esto exactamente? La dark web a menudo se asocia con actividades sospe...