Se ha descubierto un nuevo ataque de denegación de servicio (DoS) llamado "HTTP/2 Bomb", capaz de colapsar servidores web como NGINX, Apache, IIS y Envoy en pocos segundos usando una sola máquina. La técnica combina la amplificación de memoria mediante compresión HPACK con el bloqueo de flujo de datos para evitar que la RAM se libere. Aunque ya existen parches para algunos servidores, se recomienda usar proxies o desactivar HTTP/2 en aquellos que aún son vulnerables.

• Un nuevo ataque de denegación de servicio (DoS) denominado HTTP/2 Bomb puede lanzarse desde una sola máquina para derribar servidores web en cuestión de segundos.
• La técnica funciona en configuraciones predeterminadas de HTTP/2 de los principales servidores web, incluidos NGINX, Apache HTTP Server, Microsoft IIS, Envoy y Cloudflare Pingora.

Descubierto por el agente de software Codex de OpenAI bajo la guía de investigadores de la firma de seguridad ofensiva Calif, HTTP/2 Bomb combina dos métodos de DoS de HTTP/2 previamente conocidos: la amplificación de compresión HPACK y la retención de recursos al estilo Slowloris mediante el bloqueo del control de flujo de HTTP/2.


Cuando se combinan, un único cliente con una conexión de 100 Mbps puede agotar decenas de gigabytes de RAM en segundos, obligando al servidor a asignarla y evitando posteriormente su liberación.

“Una computadora doméstica con una conexión de 100Mbps puede dejar un servidor vulnerable inaccesible en segundos. Contra Apache httpd y Envoy, un solo cliente puede consumir y retener 32GB de memoria del servidor en aproximadamente 20 segundos”, afirman los investigadores [blog.calif.io].

El ataque DoS HTTP/2 Bomb abusa del mecanismo HPACK utilizado por el protocolo HTTP/2 para la compresión de cabeceras, insertando una cabecera en la tabla dinámica de HPACK y referenciándola repetidamente a través de una representación indexada compacta que puede tener un solo byte de tamaño.

Como resultado, un byte enviado por el atacante puede resultar en miles de bytes de asignación de memoria en el servidor; Envoy y Apache httpd demostraron las peores proporciones, con 5.700:1 y 4.000:1, respectivamente.

La segunda parte del ataque consiste en evitar que la memoria se libere una vez que la solicitud se completa. Esto se logra anunciando una ventana de control de flujo de cero bytes. En lugar de enviar una respuesta, el servidor envía periódicamente pequeños marcos WINDOW_UPDATE para evitar los tiempos de espera.

En este escenario, las solicitudes nunca se completan totalmente y la memoria asignada sigue creciendo sin liberarse.

Los investigadores de Calif explican que este enfoque elude las defensas existentes, como los límites en el tamaño total de la cabecera decodificada, ya que los valores de las cabeceras utilizados en el ataque son diminutos y la amplificación proviene de la gestión interna de cada cabecera y las asignaciones de memoria.

Al probar la nueva técnica de ataque DoS contra cuatro servidores web principales, los investigadores obtuvieron los siguientes resultados:

* Envoy 1.37.2 agotó 32 GB de RAM en unos 10 segundos
* Apache httpd 2.4.67 agotó 32 GB de RAM en ~18 segundos
* nginx 1.29.7 agotó 32 GB de RAM en ~45 segundos
* IIS (Windows Server 2025) agotó 64 GB de RAM en ~45 segundos

Los detalles técnicos completos del ataque DoS HTTP/2 Bomb se revelarán en la conferencia Real World AI Security a finales de este mes en una presentación del investigador Quang Luong.

Sin embargo, ya se han publicado exploits de prueba de concepto (PoC) [GitHub] para el nuevo método de ataque.

Impacto y correcciones

Los investigadores de Calif enfatizan que, aunque ninguna de las dos partes de su ataque era particularmente novedosa, combinar las dos técnicas tiene un impacto significativo.

Señalan que, aunque las especificaciones del algoritmo HPACK se centran en los riesgos de amplificación de memoria, no abordan lo que sucede cuando un atacante retiene la memoria asignada indefinidamente mediante el control de flujo de HTTP/2.

Sin embargo, no todos los servidores web son vulnerables a “HTTP/2 Bomb”, ya que ya se han lanzado parches para algunas plataformas. Además, ciertas configuraciones personalizadas del servidor pueden proporcionar una protección indirecta contra el ataque.

Por ejemplo, los sistemas que funcionan detrás de CDN o proxies inversos no exponen el endpoint vulnerable de HTTP/2 y son más difíciles de atacar. Además, algunos despliegues ya pueden tener límites personalizados de recuento de cabeceras, WAF, proxies inversos o HTTP/2 desactivado.

El problema fue corregido en la versión 1.29.8 de nginx, que añadió la directiva ‘max_headers’, y en Apache httpd mod_http2 2.0.41, donde al problema se le asignó el identificador CVE-2026-49975.

En el momento de escribir este artículo, no hay ningún parche disponible para IIS, Envoy o Pingora. En estos servidores web, se recomienda desactivar HTTP/2 donde sea posible y colocar un proxy/firewall delante que aplique límites estrictos de recuento de cabeceras.

Fuente:
BleepingComputer