Volver al blog

Síguenos y suscríbete

La resiliencia de Fastly a los ataques de desincronización HTTP/1.1

Frederik Deweerdt

Ingeniería - Sistemas periféricos, Fastly

Kazuho Oku

Ingeniero principal de OSS

Stephen Stierer

Director sénior de preventa para Norteamérica

Hossein Lotfi

Vicepresidente de Ingeniería, Red, Plataforma y Sistemas de Borde, Fastly

El 6 de agosto de 2025, Fastly publicó una actualización del estado de seguridad que confirma nuestra resiliencia ante los ataques de desincronización HTTP/1.1 revelados en Black Hat esta semana por James Kettle. Su análisis exhaustivo, HTTP/1.1 Must Die: The Desync Endgame, revela nuevas clases de ataque que han expuesto decenas de millones de sitios web a través de vulnerabilidades críticas en las principales infraestructuras de CDN. 

Estos nuevos vectores de ataque aprovechan HTTP/1.1 "Fallo fatal" de límites de solicitud débiles y métodos de especificación de longitud múltiple, lo que crea una ambigüedad extrema que los atacantes pueden aprovechar para hacerse con el control del sitio, secuestrar credenciales y envenenar la caché.

Dada la gravedad de estos hallazgos, surge naturalmente la pregunta: ¿Está Fastly expuesto?

Nos complace compartir que la plataforma de Fastly no es vulnerable a los nuevos o previamente conocidos vectores de ataque de desincronización HTTP/1.1descubiertos por investigadores de seguridad.

La plataforma edge cloud de Fastly procesa 1,8 billones de peticiones HTTP diariamente*. Mientras que otras plataformas y redes de distribución de contenidos tenían fallos críticos que afectaban los sitios web y servicios de los clientes, la arquitectura de Fastly protegió contra estos vectores de ataque, manteniendo un historial de varios años de resistencia a las vulnerabilidades de contrabando de solicitudes HTTP. La pila de red unificada de Fastly permite la coherencia en la forma en que procesamos las peticiones y protege a los clientes contra ataques como estos. Los protocolos y sus interacciones se vuelven más complejos con cada año que pasa. Sin embargo, los esfuerzos de seguridad proactivos de Fastly a nivel arquitectónico han demostrado ser proféticos a medida que la industria se enfrenta a nuevos ataques año tras año.

La defensa de Fastly contra la desincronización de HTTP/1.1

La causa principal de la desincronización HTTP, también conocida como contrabando de peticiones HTTP, es la discrepancia del analizador, una diferencia en cómo diferentes sistemas interpretan las peticiones HTTP debido a variaciones en su lógica de análisis. Fastly elimina esto mediante la uniformidad arquitectónica al tener una única implementación de análisis en toda la pila, sin crear espacio para comportamientos no coincidentes y casos extremos que crean vulnerabilidades.

Las arquitecturas CDN tradicionales sufren de diferencias de analizador en cascada, y cada traducción introduce vulnerabilidades potenciales (como las divulgadas en Black Hat). Mientras que los competidores simplemente "parcheaban" las vulnerabilidades solo para enfrentarse a nuevas variantes, la implementación defensiva de Fastly proporciona una protección duradera (Imagen 1).

Diferencias en la arquitectura de CDN y cómo impactan en HTTP/1.1

Creemos firmemente que las soluciones provisionales imponen una carga injusta a los clientes, obligándoles a buscar sus propias protecciones contra las vulnerabilidades de sus propios proveedores. En cambio, Fastly ha creado la seguridad por diseño en la arquitectura; es seguro por diseño, por lo que la seguridad no es una ocurrencia tardía; es un fundamento.  

Historial de ataques relacionados

Nuestro compromiso de superar los requisitos de seguridad en las especificaciones de protocolo ha proporcionado protección. He aquí un pequeño recorrido por el pasado, tal y como lo identifican la charla y la entrada del blog de PortSwigger Research, en relación con ataques similares:

  • 2019: Inmune a los ataques originales CL.TE/TE.CL a los que otros sucumbieron

  • 2021: Protegido contra H2.CL/H2.TE, mientras la competencia se apresuraba a parchear.

  • 2022: No afectado por ataques de CL.0 gracias a la validación obligatoria

  • 2024: Resistente a TE.0 y vulnerabilidades de fragmentos extraños.

  • 2025: Inmunidad confirmada a los ataques basados en Expect y 0.CL por valor de más de 350 000 dólares en recompensas en otros lugares.

Mientras que para otros, los equilibradores de carga permanecen sin parches debido a "problemas de compatibilidad", y nginx carece de una protección 0.CL viable, la estricta aplicación de estándares de Fastly elimina clases de ataque enteras.

Elevando el listón para la gestión segura de HTTP para el tráfico de clientes de gran volumen

El pipeline de procesamiento HTTP de Fastly implementa una defensa en profundidad a través de componentes integrados:

  • Validación de peticiones en el borde: rechazamos inmediatamente las peticiones HTTP/1.1 ambiguas, antes de que comience cualquier procesamiento.

  • Análisis HTTP unificado: un único analizador en todos los componentes reduce las incoherencias.

  • Normalización estricta: las peticiones se limpian y se reconstruyen antes de ser reenviadas.

  • Traducción controlada de protocolos: gestionamos las degradaciones de HTTP/2 y HTTP/3 a HTTP/1.1 de manera consistente y segura.

Esto contrasta notablemente con las cadenas de proxy mixtas utilizadas por otras CDN, donde el manejo inconsistente de las versiones HTTP provocó vulnerabilidades graves que afectaron a millones de sitios web.

Creemos que los estándares del Grupo de Trabajo de Ingeniería de Internet (IETF) son el suelo, no el techo, cuando se trata de proteger el tráfico de clientes. Nuestra validación de peticiones sigue los requisitos de RFC al pie de la letra, lo que nos ayuda específicamente a prevenir ataques como este.

Mientras que otras CDN pagaron más de 350 000 dólares en recompensas por errores relacionados con encabezados malformados, la estricta validación de Fastly, como rechazar de plano los encabezados Expect malformados, detuvo en seco esos ataques.

La arquitectura de Fastly preserva los supuestos de seguridad críticos de principio a fin y protege contra los ataques de desincronización avanzados, como el 0.CL y la doble desincronización. Por ejemplo, la vulnerabilidad que afectó a la CDN de un competidor, que permitió un secuestro generalizado de la respuesta, simplemente no habría sido efectiva contra la arquitectura de Fastly.

Resultado final: la seguridad duradera de Fastly

La comunidad de seguridad, como lo demuestra PortSwigger Research, es infinitamente diligente en la identificación de fallas en la infraestructura crítica de Internet. Las revelaciones de Black Hat de esta semana son las últimas de una larga lista de esfuerzos importantes para encontrar vulnerabilidades. Los fallos fundamentales en los protocolos y servicios pueden exponer regularmente a millones de sitios web a un compromiso. Fastly seguirá anteponiendo las protecciones arquitectónicas y asumirá esta responsabilidad con nuestros clientes.

Fastly continúa supervisando las amenazas en evolución y adaptando sus defensas para garantizar el más alto nivel de seguridad para nuestros clientes. Tus aplicaciones web están protegidas por nuestro enfoque proactivo y la resiliencia de nuestra arquitectura.

Sigue atento a nuestro próximo blog, donde profundizaremos en las crecientes amenazas de los ataques de desincronización, los retos de HTTP/1.1 y la resiliencia única de Fastly. Si estás interesado en obtener más información sobre cómo Fastly protege tus aplicaciones de las amenazas en evolución, ponte en contacto con uno de nuestros expertos hoy mismo.

* A partir del 31 de julio de 2023