Segundo especialistas em cibersegurança da Califórnia, apenas um computador com conexão de internet de 100 Mbps foi capaz de realizar um ataque de negação de serviço (DoS) denominado “bomba HTTP/2”. A descoberta foi feita com o auxílio do agente de inteligência artificial Codex da OpenAI.
Fonte da imagem: Shamin Haky / unsplash.com
O esquema de ataque baseia-se numa técnica para explorar o formato de compressão de cabeçalho HPACK. Um atacante hipotético engana um servidor web, fazendo-o reservar grandes quantidades de memória ao enviar pequenos fragmentos de dados. Ele explora uma característica do protocolo HTTP/2 que permite que pequenos fragmentos de dados se transformem em grandes fragmentos no servidor, forçando-o a alocar recursos de memória. Normalmente, a memória é liberada após o processamento da requisição, mas o atacante aproveita outra característica do HTTP/2 que permite que a conexão permaneça aberta indefinidamente. À medida que as requisições continuam a chegar, o servidor consome cada vez mais memória, eventualmente ficando lento e travando.
O mecanismo de ataque funciona em configurações HTTP/2 de servidores web importantes, incluindo NGINX, Apache HTTP Server, Microsoft IIS, Envoy e Cloudflare Pingora. Esses servidores “alimentam uma parte significativa da web”, o que significa que o risco é considerável. Alguns desenvolvedores já lançaram atualizações, enquanto outros produtos permanecem vulneráveis. No caso do Apache httpd e do Envoy, um único cliente pode consumir e reter 32 GB de memória do servidor em aproximadamente 20 segundos. As defesas existentes são ineficazes contra ataques HTTP/2 Bomb, pois os valores dos cabeçalhos usados no ataque são insignificantes.