Zurück zum Blog

Folgen und abonnieren

Fastlys Netzwerkstabilität gegenüber HTTP/1.1-Desynchronisierungsangriffen

Frederik Deweerdt

Engineering – Edge-Systeme, Fastly

Kazuho Oku

Principal OSS Engineer

Stephen Stierer

Senior Director of Pre-Sales für Nordamerika

Hossein Lotfi

VP of Engineering, Network, Platform, Edge Systems, Fastly

SecurityCDN und AuslieferungPlattformBrancheneinblickeKunden

Am 6. August 2025 veröffentlichte Fastly ein Sicherheitsstatus-Update, das unsere Netzwerkstabilität gegenüber den HTTP/1.1-Desynchronisationsangriffen bestätigte, die diese Woche von James Kettle auf der Black Hat bekannt gegeben wurden. Seine umfassende Analyse HTTP/1.1 Must Die: The Desync Endgame enthüllt neuartige Angriffsklassen, die durch kritische Schwachstellen in großen CDN-Infrastrukturen Zehntausende von Websites gefährden. 

Diese neuen Angriffsvektoren nutzen den „fatalen Fehler“ von HTTP/1.1 mit schwachen Anforderungsgrenzen und mehreren Längenspezifikationsmethoden, wodurch extreme Mehrdeutigkeiten entstehen, die Angreifer für Website-Übernahmen, Credential Hijacking und Cache-Poisoning ausnutzen können.

Angesichts der Schwere dieser Befunde stellt sich natürlich die Frage: Ist Fastly exponiert?

Wir freuen uns, Ihnen mitteilen zu können, dass die Fastly-Plattform nicht anfällig für die neuen oder bereits bekannten HTTP/1.1-Desync-Angriffsvektoren ist, die von Sicherheitsforschern entdeckt wurden.

Die Edge-Cloud-Plattform von Fastly verarbeitet täglich 1,8 Billionen HTTP-Anfragen*. Während andere CDNs und Plattformen kritische Schwachstellen aufwiesen, die sich auf die Websites und Dienste der Kunden auswirkten, schützte die Architektur von Fastly vor diesen Angriffsvektoren und setzte damit eine mehrjährige Erfolgsbilanz der Resistenz gegen HTTP-Anfrage-Schmuggel-Schwachstellen fort. Der einheitliche Fastly-Netzwerk-Stack sorgt für Konsistenz bei der Bearbeitung von Anforderungen und schützt Kunden vor solchen Angriffen. Protokolle und ihre Interaktionen werden von Jahr zu Jahr komplexer. Die proaktiven Sicherheitsbemühungen von Fastly auf Architekturebene haben sich jedoch als vorausschauend erwiesen, da die Branche Jahr für Jahr mit neuen Angriffen zu kämpfen hat.

Fastlys Verteidigung gegen HTTP/1.1-Desynchronisation

Die Hauptursache für HTTP-Desynchronisation, auch bekannt als HTTP-Anfrage-Schmuggel, ist eine Parser-Diskrepanz, eine Fehlanpassung in der Art und Weise, wie verschiedene Systeme HTTP-Anfragen aufgrund von Variationen in ihrer Parser-Logik interpretieren. Fastly beseitigt dies durch architektonische Einheitlichkeit, indem es eine einzige Parsing-Implementierung über den gesamten Stack hinweg verwendet, wodurch keine Möglichkeit für uneinheitliches Verhalten und Edge Cases besteht, die Schwachstellen erzeugen.

Herkömmliche CDN-Architekturen leiden unter kaskadierenden Parser-Unterschieden, wobei jede Übersetzung potenzielle Schwachstellen mit sich bringt (wie die auf der Black Hat offengelegten). Während Wettbewerber Schwachstellen lediglich „patchten“, um dann mit neuen Varianten konfrontiert zu werden, bietet die defensive Implementierung von Fastly dauerhaften Schutz (Bild 1).

Unterschiede in der CDN-Architektur und wie sie HTTP/1.1 beeinflussen

Wir sind grundsätzlich der Meinung, dass Pflasterlösungen eine unfaire Belastung für die Kunden darstellen, da sie gezwungen sind, sich selbst gegen die Schwachstellen ihrer eigenen Anbieter zu schützen. Stattdessen hat Fastly den Schutz in die Architektur integriert – es ist von Haus aus sicher, sodass Sicherheit kein nachträglicher Einfall ist, sondern eine Grundlage.  

Geschichte verwandter Angriffe

Unser Engagement, die Sicherheitsanforderungen in den Protokollspezifikationen zu übertreffen, hat für Schutz gesorgt. Hier ist eine kleine Reise in die Vergangenheit, wie sie im Vortrag und Blog-Post von PortSwigger Research zu verwandten Angriffen identifiziert wurde:

  • 2019: Immun gegen ursprüngliche CL.TE/TE.CL-Angriffe, denen andere zum Opfer fielen

  • 2021: Geschützt gegen H2.CL/H2.TE, während die Konkurrenten hektisch versuchten, Patches zu implementieren

  • 2022: Nicht betroffen von CL.0-Angriffen durch obligatorische Validierung

  • 2024: Widerstandsfähig gegenüber TE.0- und Funky-Chunk-Schwachstellen

  • 2025: Bestätigte Immunität gegen Expect-basierte und 0.CL-Angriffe, die anderswo über 350.000 $ an Kopfgeldern einbrachten

Während bei einigen anderen Load Balancern aufgrund von „Kompatibilitätsbedenken“ nicht gepatcht werden und nginx keinen praktikablen 0.CL-Schutz bietet, eliminiert die strenge Durchsetzung von Standards durch Fastly ganze Angriffsklassen.

Die Messlatte für sicheres HTTP-Handling bei hohem Kunden-Traffic höher legen

Die HTTP-Verarbeitungspipeline von Fastly implementiert eine tiefgreifende Verteidigung durch integrierte Komponenten:

  • Anforderungsvalidierung auf der Edge: Wir lehnen mehrdeutige HTTP/1.1-Anfragen sofort ab, bevor die Bearbeitung beginnt.

  • Einheitliches HTTP-Parsen: Ein Parser für alle Komponenten reduziert Inkonsistenzen.

  • Strikte Normalisierung: Anforderungen werden bereinigt und rekonstruiert, bevor sie weitergeleitet werden.

  • Kontrollierte Protokollübersetzung: Wir wickeln HTTP/2- und HTTP/3-Downgrades auf HTTP/1.1 auf konsistente und sichere Weise ab.

Dies steht in starkem Kontrast zu den von anderen CDNs verwendeten Mix-and-Match-Proxy-Ketten, bei denen die inkonsistente Handhabung von HTTP-Versionen zu schwerwiegenden Sicherheitslücken führte, die Millionen von Websites betrafen.

Wir sind der Meinung, dass die IETF-(Internet Engineering Task Force-)Standards die Untergrenze und nicht die Obergrenze darstellen, wenn es um den Schutz des Kunden-Traffics geht. Unsere Anforderungsvalidierung folgt den RFC-Anforderungen aufs Genaueste und hilft uns insbesondere dabei, derartige Angriffe zu verhindern.

Während andere CDNs über 350.000 $ an Bug Bounties für Probleme im Zusammenhang mit missgebildeten Headern auszahlten, stellte die strenge Validierung von Fastly, die zum Beispiel missgebildete Expect-Header rundweg ablehnt, diese Angriffe kalt.

Die Architektur von Fastly bewahrt kritische Sicherheitsannahmen durchgängig und schützt vor fortgeschrittenen Desync-Angriffen wie 0.CL und Double-Desync. Beispielsweise wäre die Sicherheitslücke im CDN eines Konkurrenten, die eine weitverbreitete Antwortentführung ermöglichte, gegen die Architektur von Fastly einfach nicht wirksam gewesen.

Fazit: Fastlys dauerhafte Sicherheit

Wie PortSwigger Research zeigt, ist die Sicherheitsgemeinschaft unendlich fleißig bei der Identifizierung von Schwachstellen in kritischer Internet-Infrastruktur. Die Enthüllungen von Black Hat in dieser Woche sind die jüngsten in einer langen Reihe solch wichtiger Bemühungen zur Aufdeckung von Schwachstellen. Grundlegende Fehler in Protokollen und Services können regelmäßig Millionen von Websites kompromittieren. Fastly wird den architektonischen Schutz weiterhin an erste Stelle setzen und diese Verantwortung für unsere Kunden übernehmen.

Fastly überwacht weiterhin die sich entwickelnden Bedrohungen und passt seine Abwehrmaßnahmen an, um seinen Kunden ein Höchstmaß an Sicherheit zu gewährleisten. Ihre Webanwendungen werden durch unseren proaktiven Ansatz und unsere Netzwerkstabilität geschützt.

Seien Sie gespannt auf unseren nächsten Blog, in dem wir uns eingehender mit den wachsenden Bedrohungen durch Desynchronisationsangriffe, den Herausforderungen von HTTP/1.1 und der einzigartigen Netzwerkstabilität von Fastly beschäftigen werden. Wenn Sie mehr darüber erfahren möchten, wie Fastly Ihre Anwendungen vor sich entwickelnden Bedrohungen schützt, setzen Sie sich noch heute mit einem unserer Experten in Verbindung.

* Stand: 31. Juli 2023

Fastly
© Fastly 2025