O nouă metodă de atac de tip denial of service (DoS) denumită HTTP/2 Bomb poate scoate din funcțiune, în mai puțin de un minut, serverele web Nginx, Apache, Microsoft IIS și Cloudflare Pingora.
Problema a fost descoperită de sistemul AI Codex de la OpenAI, care a combinat două tehnici de atac cunoscute de un deceniu, dar pe care nimeni nu le asociase până acum.
Conform cercetătorilor de la companie de securitate ofensivă Calif, noua tehnică de atac DoS se pretează serverelor web ce folosesc configurația default pentru protocolul HTTP/2.
Cum funcţionează atacul
Atacul HTTP/2 Bomb abuzează simultan două caracteristici ale protocolului HTTP/2: compresia headerelor din requests şi mecanismul de control al fluxului de date.
Headerele sunt mici bucăţi de informaţie pe care browserul le trimite serverului la fiecare cerere, precum tipul de browser folosit sau cookies salvate. HTTP/2 le comprimă pentru eficienţă: un header folosit recent poate fi referit ulterior cu un singur byte. Serverul îl „decomprimă” din memorie de fiecare dată când este invocat.
În prima etapă a tehnicii HTTP/2 Bomb, un atacator poate trimite un singur header comprimat, apoi îl invocă de mii de ori în aceeaşi cerere, la fiecare invocare trimițându-se un singur byte; dar serverul este forțat să să aloce în memorie spațiu pentru o copie decomprimată a headerului. Este echivalentul unui fişier ZIP care se dezarhivează într-un fișier cu o dimensiune mai mare.
Al doilea stadiu al atacului ţine serverul blocat: atacatorul anunţă că nu poate primi răspunsul, dar trimite periodic semnale minime pentru a preveni deconectarea automată. Serverul rămâne astfel suspendat, cu toată memoria alocată, fără să o poată elibera.
Teste și rezultate
În testele efectuate de Calif, cercetătorii au reușit în mai puțin de 20 de secunde cu un singur calculator obișnuit cu o bandă de 100MB să blocheze 32 GB din memoria unor servere Apache httpd şi Envoy.
În cazul unui server NGINX, același rezultat a fost obținut în aproximativ 45 de secunde.
Cercetătorii Calif au testat atacul HTTP/2 Bomb și pe un server Microsoft IIS (Windows Server 2025) unde au blocat 64GB de RAM în aproape 45 de secunde.
O căutare pe platforma Shodan, un motor de căutare pentru dispozitive conectate la internet, a relevat că peste 880.000 de site-uri folosesc HTTP/2 şi rulează unul dintre serverele afectate.
Înainte de a face cunoscută metoda HTTP/2 Bomb, cercetătorii au notificat dezvoltatorii produselor afectate.
Nginx a răspuns cu o actualizare (1.29.8) care elimină posibilitatea unui atac HTTP/2 Bomb, iar Apache a primit un patch pe 27 mai.
La momentul publicării, Microsoft IIS, Envoy şi Cloudflare Pingora nu dispuneau de actualizări, recomandarea provizorie fiind dezactivarea HTTP/2.
HTTP/2 Bomb a primit identificatorul de vulnerabilitate CVE-2026-49975.Un exploit demonstrativ este public, iar organizațiile interesate îl pot folosi pentru a afla dacă infrastructura web este vulnerabilă la HTTP/2 Bomb.
