Uma nova vulnerabilidade de negação de serviço remota, batizada de HTTP/2 Bomb, está a colocar em risco as configurações padrão dos servidores web mais utilizados do mundo, incluindo sistemas da Apache, nginx e Microsoft IIS. A descoberta foi revelada pelo investigador Quang Luong e detalhada num boletim de segurança oficial, demonstrando que um único atacante, utilizando uma ligação doméstica comum à internet, consegue esgotar dezenas de gigabytes de memória de um servidor em escassos segundos.
Como funciona a técnica de amplificação de memória
O problema foi identificado com o auxílio do Codex e resulta da combinação de duas técnicas conhecidas há quase uma década pela comunidade de segurança: um ataque de compressão HPACK e a retenção de ligações semelhante ao estilo Slowloris. A grande novidade desta variante reside na forma precisa como os elementos são combinados e no local de onde provém a amplificação de dados.
O esquema HPACK é utilizado para a compressão de cabeçalhos no protocolo HTTP/2. O atacante envia um único cabeçalho para preencher a tabela dinâmica do servidor e, em seguida, emite milhares de referências de apenas um byte num único pedido. Isto força o sistema a alocar cópias completas desse cabeçalho. Para agravar a situação, o cliente utiliza o controlo de fluxo para anunciar uma janela de zero bytes, impedindo o servidor de concluir a resposta. Com o envio contínuo de pequenas atualizações, o tempo de limite de envio é reiniciado, mantendo a falha ativa e congelando a memória alocada pelo tempo que o atacante desejar.
Impacto global e formas de mitigação
Uma análise realizada através do Shodan identificou mais de 880 mil sites públicos vulneráveis que suportam HTTP/2 e correm um dos servidores afetados, como o Apache httpd ou o Envoy. A variante direcionada ao Apache recebeu a designação CVE-2026-49975 após uma divulgação responsável feita a 27 de maio de 2026, tendo recebido uma correção no próprio dia. O nginx também disponibilizou uma correção na versão 1.29.8, introduzindo uma diretiva para limitar o número máximo de cabeçalhos permitidos. No entanto, para plataformas como o Microsoft IIS, Envoy ou Cloudflare Pingora, ainda não existem atualizações disponíveis.
Como forma de mitigação imediata para os sistemas sem correção disponível, os administradores devem desativar o suporte ao protocolo HTTP/2 ou utilizar um proxy que force um limite rígido na contagem de cabeçalhos por pedido. Adicionalmente, limitar a memória por processo de trabalho através de mecanismos como cgroups ou limites de contentores ajuda a evitar o colapso total da máquina caso esta fique sem recursos. O investigador Quang Luong irá apresentar os detalhes desta investigação na conferência Real World AI Security, que se realiza em Stanford no mês de junho de 2026.
Nenhum comentário
Seja o primeiro!