Agente de IA do OpenAI Codex ajuda a desvendar ataque de bomba HTTP/2: apenas um computador pode derrubar um servidor inteiro.

Segundo especialistas em cibersegurança da Califórnia, apenas um computador com conexão de internet de 100 Mbps foi capaz de realizar um ataque de negação de serviço (DoS) denominado “bomba HTTP/2”. A descoberta foi feita com o auxílio do agente de inteligência artificial Codex da OpenAI.

Fonte da imagem: Shamin Haky / unsplash.com

O esquema de ataque baseia-se numa técnica para explorar o formato de compressão de cabeçalho HPACK. Um atacante hipotético engana um servidor web, fazendo-o reservar grandes quantidades de memória ao enviar pequenos fragmentos de dados. Ele explora uma característica do protocolo HTTP/2 que permite que pequenos fragmentos de dados se transformem em grandes fragmentos no servidor, forçando-o a alocar recursos de memória. Normalmente, a memória é liberada após o processamento da requisição, mas o atacante aproveita outra característica do HTTP/2 que permite que a conexão permaneça aberta indefinidamente. À medida que as requisições continuam a chegar, o servidor consome cada vez mais memória, eventualmente ficando lento e travando.

O mecanismo de ataque funciona em configurações HTTP/2 de servidores web importantes, incluindo NGINX, Apache HTTP Server, Microsoft IIS, Envoy e Cloudflare Pingora. Esses servidores “alimentam uma parte significativa da web”, o que significa que o risco é considerável. Alguns desenvolvedores já lançaram atualizações, enquanto outros produtos permanecem vulneráveis. No caso do Apache httpd e do Envoy, um único cliente pode consumir e reter 32 GB de memória do servidor em aproximadamente 20 segundos. As defesas existentes são ineficazes contra ataques HTTP/2 Bomb, pois os valores dos cabeçalhos usados ​​no ataque são insignificantes.