Ataque ‘HTTP/2 Bomb’ pode derrubar servidores em menos de um minuto

Uma nova técnica de negação de serviço (DoS) denominada ‘HTTP/2 Bomb’ está a preocupar a comunidade de cibersegurança devido à sua capacidade de derrubar servidores web em poucos segundos utilizando apenas uma única máquina atacante. A vulnerabilidade afeta configurações padrão de vários servidores web amplamente utilizados, incluindo NGINX, Apache HTTP Server, Microsoft IIS, Envoy e Cloudflare Pingora.

A técnica foi descoberta pelo agente de desenvolvimento de software Codex, da OpenAI, sob orientação de investigadores da empresa de segurança ofensiva Calif. O método combina duas abordagens já conhecidas: a amplificação através da compressão HPACK do protocolo HTTP/2 e uma técnica semelhante ao ataque Slowloris, baseada na retenção de recursos através do controlo de fluxo do protocolo.

Segundo os investigadores, um único computador doméstico com uma ligação de 100 Mbps pode tornar um servidor vulnerável inacessível em poucos segundos. Nos testes realizados, um único cliente conseguiu consumir e manter ocupados 32 GB de memória RAM em aproximadamente 10 segundos no Envoy e em cerca de 18 segundos no Apache HTTP Server.

O ataque explora o mecanismo HPACK, utilizado pelo HTTP/2 para compressão de cabeçalhos. Os atacantes inserem um cabeçalho na tabela dinâmica HPACK e referenciam-no repetidamente através de representações extremamente pequenas, por vezes de apenas um byte.

Como resultado, um único byte enviado pelo atacante pode obrigar o servidor a alocar milhares de bytes em memória. Os investigadores observaram rácios de amplificação de aproximadamente 5.700:1 no Envoy e 4.000:1 no Apache HTTP Server.

A segunda fase do ataque impede que essa memória seja libertada. Para tal, o atacante anuncia uma janela de controlo de fluxo de tamanho zero, impedindo a conclusão das respostas. O servidor continua a manter os recursos alocados, acumulando memória até provocar a indisponibilidade do serviço.

Nos testes realizados pela Calif, os resultados foram os seguintes:

• Envoy 1.37.2: 32 GB de RAM esgotados em cerca de 10 segundos;
• Apache HTTP Server 2.4.67: 32 GB esgotados em aproximadamente 18 segundos;
• NGINX 1.29.7: 32 GB esgotados em cerca de 45 segundos;
• Microsoft IIS (Windows Server 2025): 64 GB esgotados em aproximadamente 45 segundos.

Os investigadores salientam que nenhuma das técnicas utilizadas é inédita, mas a combinação das duas cria um impacto significativamente superior ao previsto pelas proteções atualmente implementadas.

Embora a especificação HPACK reconheça riscos de amplificação de memória, não contempla cenários em que um atacante consiga reter indefinidamente a memória alocada através dos mecanismos de controlo de fluxo do HTTP/2.

Entretanto, algumas plataformas já disponibilizaram correções. O problema foi resolvido no NGINX 1.29.8, através da introdução da diretiva max_headers, e no módulo mod_http2 2.0.41 do Apache HTTP Server, onde a falha recebeu o identificador CVE-2026-49975.

À data da divulgação, Microsoft IIS, Envoy e Cloudflare Pingora ainda não dispunham de correções. Como medida de mitigação, os especialistas recomendam desativar o HTTP/2 sempre que possível e implementar proxies, firewalls ou sistemas de proteção capazes de impor limites rigorosos ao número de cabeçalhos processados.

Os detalhes técnicos completos do ataque serão apresentados ainda este mês na conferência Real World AI Security, embora já tenham sido disponibilizadas provas de conceito públicas que demonstram a exploração da técnica.