Venerdi 26 Giugno 2026 06:33:05 GMT+02:00

Netcrook

HomeManifesto
News
Corporate Security IncidentsCloud, SaaS & Identity SecurityIndustrial Cybersecurity & Critical InfrastructureCyber Intelligence, TrendsAI Security & Agentic SystemsCyber Intelligence & Threat TrendsCyber WarfareCyber Warfare & Nation-State OperationsCyber CriminalityBreaches & Data LeaksCybercrimeMalware & BotnetsRansomware & ExtortionSecurity Awareness & Social EngineeringLegal PolicyLegal, Policy & Government CybersecurityPrivacy, Regulation & ComplianceTechnology, InnovationTechnology, Innovation & Digital InfrastructureVulnerabilities Patch ManagementResearch, Exploits & Offensive SecurityVulnerabilities & Patch Management
Techcrook
Tutte le tecnologieIdentita e accessoFirewall e reteBackup e archiviazioneEnergia e continuitaPrivacy e sicurezza fisicaLaboratorio e prototipazioneStampa e tracciabilitaTecnologia quotidiana
Geocrook
AfricaAsiaEuropeMiddle EastNorth AmericaOceaniaSouth America
WikicrookTeamAppContatti
ItalianoEnglishArabic
Vulnerabilità e gestione delle patch

Vecchio protocollo, nuova fuga: il percorso FTP di Squid si trasforma in un rischio di divulgazione segreta

23 Giugno 2026 08:24Vulnerabilità e gestione delle patchNEONPALADIN

Una vulnerabilità di lunga data nel percorso gateway FTP di Squid, tracciata come CVE-2026-47729, evidenzia come il supporto ai protocolli legacy possa ancora mettere a rischio credenziali e altri segreti basati su header.

Il software proxy dovrebbe ridurre l'esposizione, non ampliarla. Eppure Squid, uno dei più noti proxy di caching di Internet, è finito sotto i riflettori dopo che una vulnerabilità appena tracciata è stata collegata a un percorso gateway FTP che, nelle condizioni segnalate, può rivelare contenuti sensibili della memoria. La parte preoccupante non è solo il bug in sé, ma il fatto che la superficie a rischio si trovi all'interno di un intermediario fidato che molti team lasciano in esecuzione per anni.

Fatti rapidi

  • CVE-2026-47729 interessa il percorso gateway FTP di Squid.
  • Il problema è descritto come una lettura fuori dai limiti causata da una convalida dell'input non corretta.
  • Sono stati identificati come dati sensibili esposti gli header di autorizzazione HTTP e le chiavi API.
  • FTP compare negli esempi di Safe_ports in stile stock, quindi l'esposizione può persistere nelle distribuzioni con configurazione predefinita.
  • Squid 7.6 include la correzione e aggiunge un hardening specifico per FTP.

Perché questo bug è importante

Il pericolo tecnico qui non è un crash rumoroso. È una perdita di riservatezza. Nei servizi C e C++ a lunga esecuzione, una lettura fuori dai limiti può recuperare byte obsoleti dalla memoria che appartengono a richieste precedenti o a transazioni non correlate. In un proxy, questo è particolarmente sensibile perché il processo potrebbe aver gestito credenziali, cookie, token o header upstream pochi istanti prima della lettura difettosa.

Il trigger segnalato è più ristretto di una vulnerabilità generica esposta a Internet: si colloca nel comportamento del gateway FTP di Squid, non nel normale inoltro HTTP. Questa distinzione è importante. Significa che i difensori non dovrebbero supporre che ogni distribuzione di Squid sia esposta allo stesso modo. La vera domanda è se il supporto FTP sia raggiungibile in un determinato ambiente e se il proxy consenta ancora quel percorso legacy.

È qui che la configurazione diventa parte del modello di minaccia. I template ACL in stile predefinito di Squid includono FTP sulla porta 21 in Safe_ports, il che significa che l'accesso al protocollo legacy può rimanere presente a meno che gli amministratori non lo rimuovano o lo blocchino consapevolmente. In altre parole, una funzione di compatibilità dimenticata può trasformarsi nel corridoio stretto attraverso cui avviene la divulgazione di memoria.

C'è anche una chiara lezione sulla gestione delle credenziali. Squid può elaborare dati relativi all'header HTTP Authorization, e i segreti contenuti negli header sono obiettivi di alto valore quando fallisce la sicurezza della memoria. Il contenuto esatto divulgato in questo caso non è confermato in modo indipendente qui, quindi è meglio trattare l'impatto come una possibile esposizione di materiale segreto piuttosto che come il furto garantito di un tipo specifico di token.

Squid 7.6 contiene la correzione per CVE-2026-47729 e aggiunge un hardening specifico per FTP, segnalando con forza che il percorso vulnerabile si trova nel codice di parsing e di convalida attorno alla superficie del protocollo legacy. Per i difensori, la risposta pratica è semplice: applicare la patch, poi verificare se FTP è davvero necessario, e infine ridurre al minimo gli header che il proxy conserva nei passaggi in uscita.

Al momento della stesura, i dettagli tecnici pubblici non stabiliscono completamente la matrice delle versioni interessate, i dati esatti che potrebbero essere recuperati o se ogni distribuzione in stile predefinito sia esposta nella pratica. Le informazioni disponibili supportano un'analisi del rischio, non l'affermazione di un compromesso universale.

Conclusione

La lezione più ampia è scomoda ma familiare: i percorsi di codice più vecchi nell'infrastruttura sono spesso i più difficili da ritirare e i più facili da trascurare. Quando un proxy parla ancora con un protocollo legacy come FTP, i difensori dovrebbero trattare quella funzione come una superficie d'attacco separata, non come un relitto innocuo. Nell'ingegneria della sicurezza moderna, ridurre la portata dei protocolli può essere importante quanto applicare la patch.

TECHCROOK

Appliance firewall hardware: Un appliance firewall hardware può aiutare a separare i server proxy dal resto della rete, limitare le porte legacy come FTP e applicare regole di accesso più semplici. È una soluzione pratica per gli ambienti che eseguono ancora infrastrutture condivise.

Scheda Techcrook: Appliance firewall hardware

WIKICROOK

  • Lettura fuori dai limiti: Una vulnerabilità di sicurezza della memoria in cui un programma legge oltre un buffer e può rivelare dati obsoleti.
  • Gateway FTP: Un percorso proxy che media l'accesso ai server FTP tramite il servizio proxy.
  • Header Authorization: Un header HTTP comunemente usato per trasportare credenziali o token bearer.
  • Safe_ports: Un template ACL di Squid che elenca le porte di destinazione considerate accettabili per il proxying.
  • Request_header_access: Una direttiva di Squid usata per consentire, negare o rimuovere specifici header HTTP.
NEONPALADIN
AutoreNEONPALADIN

Vulnerabilità e gestione delle patch