Eine kritische HTTP/1.1-Sicherheitslücke bedroht über 24 Millionen Websites und ermöglicht es Angreifern, Konten zu übernehmen, sensible Daten zu stehlen und schädlichen Code einzuschleusen. Die Schwachstelle verbirgt sich in Backend-Systemen, die weiterhin HTTP/1.1 verwenden, selbst wenn Frontend-Dienste modern und sicher erscheinen.
So funktioniert die Sicherheitslücke
HTTP/1.1 enthält unklare Anfragerandbedingungen, die Angreifer in „Request Smuggling“- oder „Desync“-Angriffen ausnutzen. Diese Angriffe ermöglichen es, schädliche Nutzlasten an Sicherheitsschichten vorbeizuschleusen. Selbst Websites, die Content-Delivery-Netzwerke oder Reverse-Proxys wie Cloudflare oder Akamai nutzen, können betroffen sein, wenn Upstream-Server standardmäßig HTTP/1.1 verwenden.
Wird die Schwachstelle ausgenutzt, können Angreifer Benutzersitzungen manipulieren, schädliche Skripte einschleusen und Caches vergiften. Dies kann zu gestohlenen Passwörtern, offengelegten Kreditkartendaten oder zufälligen Anmeldungen in fremden Konten führen.
Forschungsergebnisse
Die Sicherheitslücke wurde vom Sicherheitsforscher James Kettle von PortSwigger auf der Black Hat und der DEF CON vorgestellt. Seine Arbeit zeigte, dass viele Infrastrukturen im Hintergrund unbemerkt auf HTTP/1.1 zurückfallen. Kettles Erkenntnisse brachten bedeutende Bug-Bounty-Prämien ein und verstärkten die Forderungen, HTTP/1.1 zugunsten von HTTP/2 abzuschaffen.
Auswirkungen auf die globale Websicherheit
Mit Millionen exponierter Websites erstreckt sich das Risiko sowohl auf große Plattformen als auch auf kleinere Unternehmen. Angreifer können Konten kompromittieren, Kundendaten stehlen und Malware in legitimen Webverkehr einschleusen. Die weit verbreitete Abhängigkeit von veralteten Protokollen macht das Internet anfällig für massenhafte Ausnutzung.
Empfohlene Gegenmaßnahmen
Experten empfehlen, für alle Upstream-Verbindungen HTTP/2 zu verwenden, um das Risiko einer Protokolldowngrade zu beseitigen. Strenge Anfragevalidierung sollte eingeführt werden, um Smuggling-Angriffe zu erkennen. Das Deaktivieren der Wiederverwendung von Anfragen kann die Angriffsfläche weiter reduzieren. Administratoren können außerdem das Open-Source-Tool HTTP Request Smuggler v3.0 nutzen, um Systeme auf Schwachstellen zu testen.
Fazit
Die HTTP/1.1-Sicherheitslücke ist eine verborgene Bedrohung, die Millionen von Websites weltweit betrifft. Ohne proaktive Upgrades und gründliche Sicherheitstests können Angreifer diese Schwachstelle für großangelegte Kontoübernahmen und Datendiebstähle ausnutzen. Der Wechsel zu HTTP/2 und die Umsetzung strenger Validierung bieten den wirksamsten Schutz.
0 Kommentare zu „HTTP/1.1-Fehler setzt 24 Millionen Websites einer Gefahr aus“