Lunedi 06 Luglio 2026 15:31:32 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Vulnerabilities & Patch Management

Panico Proxy: bug critici di Apache Traffic Server spalancano la porta a interruzioni aziendali

Pubblicato: 06 Aprile 2026 15:09Categoria: Vulnerabilities & Patch ManagementAutore: KERNELWATCHER

Sottotitolo: Due falle appena scoperte in Apache Traffic Server potrebbero consentire agli aggressori di mandare in crash i proxy web aziendali o far passare richieste malevole oltre le difese-senza bisogno di password.

Nel mondo ad alta posta in gioco delle infrastrutture digitali, poche cose incutono timore nel cuore di un team di sicurezza quanto un bug zero-day in un servizio portante. Questa settimana, l’Apache Software Foundation si è precipitata a correggere due vulnerabilità ad alta gravità in Apache Traffic Server (ATS)-una soluzione di proxy e caching ampiamente utilizzata e scelta da aziende globali. Le falle, divulgate in sordina e corrette rapidamente, potrebbero rivelarsi disastrose per le organizzazioni lente a reagire: un bug permette agli aggressori di buttare giù i server con un singolo pacchetto di rete, mentre l’altro consente una manipolazione furtiva del traffico HTTP, potenzialmente aggirando controlli di sicurezza critici.

Dentro la falla: cosa è andato storto?

I ricercatori di sicurezza Masakazu Kitajo e Katsutoshi Ikenoya hanno individuato le falle durante un’analisi approfondita di come ATS elabora le richieste HTTP con dati nel corpo. Le loro conclusioni? ATS gestisce in modo errato alcune richieste POST e non riesce a interpretare correttamente il chunked transfer encoding-due errori dalle conseguenze di ampia portata.

CVE-2025-58136 è il colpo di scena: un errore logico nel gestore delle richieste POST del server consente a chiunque su internet di mandare in crash un’istanza ATS esposta-niente password, niente privilegi, nessuna interazione dell’utente. All’aggressore basta inviare una richiesta POST appositamente costruita. Risultato: denial of service immediato, che abbatte infrastrutture web critiche con uno sforzo quasi nullo. Per le aziende che si affidano ad ATS per mantenere i siti veloci e disponibili, questo bug è un maglio digitale.

CVE-2025-65114 è più insidiosa. Sfruttando l’interpretazione incoerente di ATS dei corpi dei messaggi HTTP in modalità chunked, gli aggressori possono eseguire request smuggling-una tecnica subdola che consente a richieste malevole di scivolare oltre il proxy, potenzialmente avvelenando le cache, spezzando le risposte o intercettando dati sensibili. Il vero pericolo? Questo bug può permettere agli aggressori di aggirare i controlli di sicurezza e manipolare il traffico in modi difficili da rilevare.

Sebbene non siano ancora emerse segnalazioni di sfruttamento attivo, il tempo stringe. ATS si trova nel cuore di molte infrastrutture enterprise, gestendo volumi enormi di traffico web. La sua popolarità lo rende un bersaglio appetitoso per criminali desiderosi di interrompere servizi o rubare dati.

La risposta d’emergenza dell’Apache Software Foundation è stata rapida: le release corrette sono arrivate il 2 aprile 2026. L’aggiornamento ad ATS 9.2.13 o 10.1.2 è l’unica correzione a prova di proiettile. Sebbene esista una modifica di configurazione temporanea per il bug DoS, non c’è alcun workaround analogo per la falla di request smuggling-il che rende l’applicazione della patch urgente per chiunque sia esposto a internet.

Lezioni per l’impresa

Queste due vulnerabilità gemelle sono un duro promemoria: anche l’infrastruttura più affidabile può nascondere pericoli invisibili. Per i difensori, il messaggio è chiaro-patchare presto, patchare spesso e non sottovalutare mai la creatività degli aggressori. Man mano che il traffico enterprise cresce, cresce anche il valore dei bersagli-e i rischi di restare fermi.

WIKICROOK

  • Denial: In cybersecurity, denial significa rendere sistemi o servizi non disponibili agli utenti, spesso tramite attacchi come il Denial-of-Service (DoS) che li inondano di traffico.
  • HTTP Request Smuggling: L’HTTP Request Smuggling è un attacco web in cui gli aggressori fanno passare richieste nascoste oltre i server sfruttando il modo in cui questi interpretano i confini delle richieste HTTP.
  • Chunked Transfer Encoding: Il Chunked Transfer Encoding è un metodo HTTP che invia i dati in pezzi separati, o “chunk”, consentendo una consegna dei dati web efficiente e flessibile.
  • Proxy Server: Un proxy server è un intermediario che instrada il traffico di rete, aiutando a nascondere l’identità degli utenti, aggirare restrizioni e gestire l’accesso a internet.
  • Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software, senza una correzione disponibile, il che la rende altamente preziosa e pericolosa per gli aggressori.