Redazione RHC : 8 Agosto 2025 17:07
Una falla di sicurezza cruciale nell’HTTP/1.1 è stata resa pubblica dagli esperti di sicurezza, mettendo in luce una minaccia che continua ad impattare sull’infrastruttura web da più di sei anni, con potenziali ripercussioni per milioni di siti, nonostante gli sforzi continui per arginarla. I ricercatori di PortSwigger rivelano che HTTP/1.1 rimane intrinsecamente insicuro, esponendo regolarmente milioni di siti web a tentativi di acquisizione ostile tramite sofisticati attacchi di desincronizzazione HTTP.
La società di sicurezza informatica ha segnalato l’introduzione di varie nuove tipologie di tali attacchi, che hanno messo in luce falle critiche, andando ad intaccare decine di milioni di siti web e minando l’infrastruttura basilare all’interno di più reti di distribuzione dei contenuti (CDN). Nonostate gli sforzi dei fornitori, che hanno messo in atto varie strategie di contenimento nell’arco degli ultimi sei anni, i ricercatori sono stati in grado di superare costantemente le barriere protettive.
Per la prima volta, la minaccia è stata resa pubblica da PortSwigger nel 2019, tuttavia, relativamente alla causa fondamentale della vulnerabilità, sono state apportate solo minime modifiche. Un difetto progettuale critico in HTTP/1.1 è all’origine del problema: il protocollo permette agli aggressori di generare un’estrema ambiguità sul punto in cui si conclude una richiesta e sul punto in cui inizia la successiva.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La presenza di ambiguità permette ai responsabili degli attacchi malevoli di variare i confini delle richieste, generando così attacchi di tipo request smuggling che sono in grado di minare l’integrità di intere applicazioni web e dell’infrastruttura che le supporta. Le differenze nell’interpretazione delle richieste HTTP da parte di server e sistemi proxy diversi vengono sfruttate da questi attacchi, i quali consentono agli attaccanti di inserire richieste dannose che appaiono come legittime ai sistemi di sicurezza, ma che in realtà eseguono operazioni dannose sui server di back-end.
Le versioni successive di HTTP/2 rimuovono sostanzialmente ogni ambiguità fondamentale, di fatto rendendo molto difficili gli attacchi di desincronizzazione. Gli esperti di sicurezza però evidenziano che l’attivazione di HTTP/2 soltanto sui server edge risulta essere insufficiente. Fondamentale è invece l’attuazione di HTTP/2 nelle connessioni dirette ai server di origine attraverso i proxy inversi, in quanto permangono molte vulnerabilità causate dalla costante dipendenza da HTTP/1.1.
PortSwigger ha lanciato un’iniziativa completa intitolata “HTTP/1.1 Must Die: The Desync Endgame”, esortando le organizzazioni ad abbandonare il protocollo vulnerabile. La ricerca include raccomandazioni pratiche per l’implementazione immediata, tra cui l’abilitazione del supporto HTTP/2 upstream e la garanzia che i server di origine possano gestire il protocollo più recente.
Per le organizzazioni che dipendono ancora da HTTP/1.1, i ricercatori raccomandano di implementare le funzionalità di convalida e normalizzazione delle richieste disponibili sui sistemi front-end, di valutare la disattivazione del riutilizzo della connessione upstream e di collaborare attivamente con i fornitori in merito alle tempistiche del supporto HTTP/2.
Questa vulnerabilità interessa un ampio spettro di infrastrutture web, dai singoli siti web ai principali provider CDN, evidenziando l’urgente necessità di un’adozione a livello di settore dei moderni protocolli HTTP per garantire la sicurezza web.
RedazioneLa campagna su larga scala TamperedChef sta nuovamente attirando l’attenzione degli specialisti, poiché gli aggressori continuano a distribuire malware tramite falsi programmi di installazione di a...
Una vulnerabilità di tipo authentication bypass è stata individuata in Azure Bastion (scoperta da RHC grazie al monitoraggio costante delle CVE critiche presente sul nostro portale), il servizio g...
Microsoft ha reso nota una vulnerabilità critica in SharePoint Online (scoperta da RHC grazie al monitoraggio costante delle CVE critiche presente sul nostro portale), identificata come CVE-2025-5924...
Il Segretario Generale del Garante per la protezione dei dati personali, Angelo Fanizza, ha rassegnato le proprie dimissioni a seguito di una riunione straordinaria tenuta questa mattina nella sala Ro...
Un impiegato si è dichiarato colpevole di aver hackerato la rete del suo ex datore di lavoro e di aver causato danni per quasi 1 milione di dollari dopo essere stato licenziato. Secondo l’accusa, i...
