Pesquisadores de cibersegurança descobriram um exploit de negação de serviço remota que afeta grandes servidores web, incluindo NGINX, Apache HTTPD, Microsoft IIS, Envoy e Cloudflare Pingora.
A vulnerabilidade recebeu o codinome HTTP/2 Bomb, da Calif.
“A execução vulnerável existe na configuração padrão de HTTP/2 de cada servidor”, afirmou a empresa, acrescentando que a falha foi descoberta pelo OpenAI Codex ao combinar duas técnicas já conhecidas: uma bomba de compressão e uma retenção no estilo Slowloris.
“A bomba mira o HPACK, o esquema de compressão de cabeçalhos do HTTP/2: um byte transmitido na rede se transforma em uma alocação de cabeçalho inteira no servidor, repetida milhares de vezes por requisição”, acrescentou a Calif.
“A retenção é uma janela de controle de fluxo de zero byte que impede o servidor de liberar qualquer parte disso.”
O HPACK é um algoritmo dedicado à compressão de cabeçalhos no HTTP/2, usado para comprimir metadados de requisições e respostas com codificação Huffman, o que gera uma redução média de 30% no tamanho dos cabeçalhos.
Ele também foi projetado para resistir a ataques como o CRIME, sigla para “Compression Ratio Info-leak Made Easy”, que pode vazar cookies de autenticação a partir de cabeçalhos comprimidos.
O Slowloris, por sua vez, é um tipo de ataque de negação de serviço, ou DoS, que permite a um threat actor sobrecarregar um servidor-alvo abrindo e mantendo muitas conexões HTTP simultâneas entre o atacante e o alvo.
Trata-se de um ataque na camada de aplicação.
O HTTP/2 Bomb é inspirado em abordagens já conhecidas, como o HPACK Bomb, também identificado como
CVE-2016-6581
, divulgado pela primeira vez em 2016, além da
CVE-2025-53020
, uma vulnerabilidade de exaustão de memória na implementação HTTP/2 do Apache httpd, e de duas falhas de DoS no Apache HTTP Server, uma por meio de frames CONTINUATION forjados,
CVE-2016-8740
, e outra por falta de threads de trabalho,
CVE-2016-1546
, em uma conexão HTTP/2.
“O que há de novo aqui é de onde vem a amplificação”, disse a Calif.
“A bomba clássica insere um valor grande na tabela e o referencia repetidamente, então os servidores aprenderam a limitar o tamanho total decodificado dos cabeçalhos.
Nossa variante faz o contrário: o cabeçalho é quase vazio, e a amplificação vem da contabilidade por entrada que o servidor aloca ao redor dele.
O limite de tamanho decodificado nunca dispara porque quase não há nada para decodificar.”
Em um cenário hipotético de ataque, um computador doméstico com conexão de 100 Mbps pode tornar um servidor vulnerável inacessível em segundos.
Além disso, um único cliente pode consumir e manter 32 GB de memória do servidor contra Apache HTTPD e Envoy em cerca de 20 segundos.
Para conter a vulnerabilidade, recomenda-se aplicar as seguintes medidas:
NGINX: atualizar para a versão 1.29.8 ou superior, que adiciona a diretiva max_headers com valor padrão de 1.000.
Se a atualização não for possível, recomenda-se desativar o HTTP/2 com http2 off;.
Apache HTTPD: a correção foi incluída no mod_http2 v2.0.41.
Se a atualização não for possível, recomenda-se definir Protocols http/1.1 para desativar o HTTP/2.
Microsoft IIS, Envoy e Cloudflare Pingora: não havia patch disponível até o momento da publicação.
“A falha mais profunda é que a especificação trata o risco de memória apenas como uma relação de amplificação, e relação é só metade da equação”, disse a Calif.
“Uma amplificação de 70:1 é inofensiva se a memória for liberada quando a requisição termina.
Ela se torna um ataque porque o HTTP/2 permite que o cliente mantenha a conexão aberta a custo quase zero, prendendo cada byte alocado pelo tempo que quiser.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...