🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um novo ataque de negação de serviço (DoS) denominado HTTP/2 Bomb pode ser lançado a partir de uma única máquina para derrubar servidores web em segundos.
A técnica funciona em configurações HTTP/2 padrão dos principais servidores web, incluindo NGINX, Apache HTTP Server, Microsoft IIS, Envoy e Cloudflare Pingora.
Descoberto pelo agente de software Codex da OpenAI sob a orientação de pesquisadores da empresa de segurança ofensiva da Califórnia, o HTTP/2 Bomb combina dois métodos HTTP/2 DoS anteriormente conhecidos: a amplificação de compressão HPACK e a retenção de recursos no estilo Slowloris por meio de paralisação de controle de fluxo HTTP/2.
Quando combinados, um único cliente em uma conexão de 100 Mbps pode esgotar dezenas de gigabytes de RAM em segundos, forçando o servidor a alocá-lo e impedindo sua liberação.
"Um computador doméstico com uma conexão de 100 Mbps pode tornar um servidor vulnerável inacessível em segundos. Contra o Apache httpd e o Envoy, um único cliente pode consumir e armazenar 32 GB de memória do servidor em aproximadamente 20 segundos", dizem os pesquisadores.
O ataque HTTP/2 Bomb DoS abusa do mecanismo HPACK usado pelo protocolo HTTP/2 para compactação de cabeçalho, inserindo um cabeçalho na tabela dinâmica HPACK e referenciando-o repetidamente por meio de uma representação indexada compacta que pode ter um byte de tamanho.
Como resultado, um byte enviado pelo invasor pode resultar em milhares de bytes de alocação de memória no servidor, com Envoy e Apache httpd demonstrando as piores proporções de 5.700:1 e 4.000:1, respectivamente.
A segunda parte do ataque consiste em impedir que a memória seja liberada após a conclusão da solicitação. Isto pode ser conseguido anunciando uma janela de controle de fluxo de zero bytes. Em vez de enviar uma resposta, o servidor envia periodicamente pequenos quadros WINDOW_UPDATE para evitar tempos limite.
Neste cenário, as solicitações nunca são totalmente concluídas e a memória alocada continua crescendo sem ser liberada.
Pesquisadores da Califórnia explicam que essa abordagem contorna as defesas existentes, como limites no tamanho total do cabeçalho decodificado, já que os valores do cabeçalho usados no ataque são minúsculos e a amplificação vem da contabilidade interna por cabeçalho e das alocações de memória.
Ao testar a nova técnica de ataque DoS contra quatro servidores web principais, os pesquisadores alcançaram os seguintes resultados:
O Envoy 1.37.2 esgotou 32 GB de RAM em cerca de 10 segundos
Apache httpd 2.4.67 esgotou 32 GB de RAM em aproximadamente 18 segundos
O nginx 1.29.7 esgotou 32 GB de RAM em aproximadamente 45 segundos
IIS (Windows Server 2025) esgotou 64 GB de RAM em aproximadamente 45 segundos
Os detalhes técnicos completos do ataque HTTP/2 Bomb DoS serão divulgados na conferência Real World AI Security no final deste mês, em uma apresentação do pesquisador Quang Luong.
No entanto, explorações de prova de conceito (PoC) já foram publicadas para o novo método de ataque.
Demonstração de ataqueFonte: Califórnia
Impacto e correções
Os investigadores da Califórnia sublinham que, embora nenhuma parte do ataque tenha sido particularmente nova, a combinação das duas técnicas tem um impacto significativo.
Eles observam que, embora as especificações do algoritmo HPACK se concentrem nos riscos de amplificação de memória, elas não abordam o que acontece quando um invasor mantém a memória alocada indefinidamente por meio do controle de fluxo HTTP/2.
No entanto, nem todos os servidores web são vulneráveis à “bomba HTTP/2”, pois já foram lançados patches para algumas plataformas. Além disso, certas configurações de servidor personalizadas podem fornecer proteção indireta contra ataques.
Por exemplo, sistemas executados por trás de CDNs ou proxies reversos não expõem o endpoint HTTP/2 vulnerável e são mais difíceis de atingir. Além disso, algumas implantações podem já ter limites de contagem de cabeçalhos personalizados, WAFs, proxies reversos ou HTTP/2 desabilitados.
O problema foi corrigido no nginx versão 1.29.8, que adicionou uma diretiva ‘max_headers’, e no Apache httpd mod_http2 2.0.41, onde o problema recebeu o identificador CVE-2026-49975.
No momento em que este artigo foi escrito, nenhum patch estava disponível para IIS, Envoy ou Pingora. Nesses servidores web, é recomendado desabilitar o HTTP/2 sempre que possível e colocar um proxy/firewall na frente que imponha limites rígidos de contagem de cabeçalhos.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
A técnica funciona em configurações HTTP/2 padrão dos principais servidores web, incluindo NGINX, Apache HTTP Server, Microsoft IIS, Envoy e Cloudflare Pingora.
Descoberto pelo agente de software Codex da OpenAI sob a orientação de pesquisadores da empresa de segurança ofensiva da Califórnia, o HTTP/2 Bomb combina dois métodos HTTP/2 DoS anteriormente conhecidos: a amplificação de compressão HPACK e a retenção de recursos no estilo Slowloris por meio de paralisação de controle de fluxo HTTP/2.
Quando combinados, um único cliente em uma conexão de 100 Mbps pode esgotar dezenas de gigabytes de RAM em segundos, forçando o servidor a alocá-lo e impedindo sua liberação.
"Um computador doméstico com uma conexão de 100 Mbps pode tornar um servidor vulnerável inacessível em segundos. Contra o Apache httpd e o Envoy, um único cliente pode consumir e armazenar 32 GB de memória do servidor em aproximadamente 20 segundos", dizem os pesquisadores.
O ataque HTTP/2 Bomb DoS abusa do mecanismo HPACK usado pelo protocolo HTTP/2 para compactação de cabeçalho, inserindo um cabeçalho na tabela dinâmica HPACK e referenciando-o repetidamente por meio de uma representação indexada compacta que pode ter um byte de tamanho.
Como resultado, um byte enviado pelo invasor pode resultar em milhares de bytes de alocação de memória no servidor, com Envoy e Apache httpd demonstrando as piores proporções de 5.700:1 e 4.000:1, respectivamente.
A segunda parte do ataque consiste em impedir que a memória seja liberada após a conclusão da solicitação. Isto pode ser conseguido anunciando uma janela de controle de fluxo de zero bytes. Em vez de enviar uma resposta, o servidor envia periodicamente pequenos quadros WINDOW_UPDATE para evitar tempos limite.
Neste cenário, as solicitações nunca são totalmente concluídas e a memória alocada continua crescendo sem ser liberada.
Pesquisadores da Califórnia explicam que essa abordagem contorna as defesas existentes, como limites no tamanho total do cabeçalho decodificado, já que os valores do cabeçalho usados no ataque são minúsculos e a amplificação vem da contabilidade interna por cabeçalho e das alocações de memória.
Ao testar a nova técnica de ataque DoS contra quatro servidores web principais, os pesquisadores alcançaram os seguintes resultados:
O Envoy 1.37.2 esgotou 32 GB de RAM em cerca de 10 segundos
Apache httpd 2.4.67 esgotou 32 GB de RAM em aproximadamente 18 segundos
O nginx 1.29.7 esgotou 32 GB de RAM em aproximadamente 45 segundos
IIS (Windows Server 2025) esgotou 64 GB de RAM em aproximadamente 45 segundos
Os detalhes técnicos completos do ataque HTTP/2 Bomb DoS serão divulgados na conferência Real World AI Security no final deste mês, em uma apresentação do pesquisador Quang Luong.
No entanto, explorações de prova de conceito (PoC) já foram publicadas para o novo método de ataque.
Demonstração de ataqueFonte: Califórnia
Impacto e correções
Os investigadores da Califórnia sublinham que, embora nenhuma parte do ataque tenha sido particularmente nova, a combinação das duas técnicas tem um impacto significativo.
Eles observam que, embora as especificações do algoritmo HPACK se concentrem nos riscos de amplificação de memória, elas não abordam o que acontece quando um invasor mantém a memória alocada indefinidamente por meio do controle de fluxo HTTP/2.
No entanto, nem todos os servidores web são vulneráveis à “bomba HTTP/2”, pois já foram lançados patches para algumas plataformas. Além disso, certas configurações de servidor personalizadas podem fornecer proteção indireta contra ataques.
Por exemplo, sistemas executados por trás de CDNs ou proxies reversos não expõem o endpoint HTTP/2 vulnerável e são mais difíceis de atingir. Além disso, algumas implantações podem já ter limites de contagem de cabeçalhos personalizados, WAFs, proxies reversos ou HTTP/2 desabilitados.
O problema foi corrigido no nginx versão 1.29.8, que adicionou uma diretiva ‘max_headers’, e no Apache httpd mod_http2 2.0.41, onde o problema recebeu o identificador CVE-2026-49975.
No momento em que este artigo foi escrito, nenhum patch estava disponível para IIS, Envoy ou Pingora. Nesses servidores web, é recomendado desabilitar o HTTP/2 sempre que possível e colocar um proxy/firewall na frente que imponha limites rígidos de contagem de cabeçalhos.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
#samirnews #samir #news #boletimtec #novo #ataque #dos #http/2 #bomb #trava #servidores #web #em #menos #de #um #minuto
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário