Aggregatore GNU/Linux e dintorni

GNU/Linux for everyone and forever

Nuovo attacco HTTP/2 Bomb: vulnerabilità DoS contro i server Web

di ·

Nuovo attacco HTTP/2 Bomb: vulnerabilità DoS contro i server Web

Un nuovo attacco di tipo DoS (Denial of Service, cioè negazione del servizio) chiamato HTTP/2 Bomb sta colpendo i principali server web moderni, tra cui Nginx, Apache HTTP Server, Microsoft IIS, Envoy e Cloudflare Pingora, causando un consumo di memoria estremamente elevato in pochi secondi. La vulnerabilità è stata resa pubblica da un gruppo di ricercatori della Calif e riguarda le configurazioni predefinite del protocollo HTTP/2, oggi ampiamente utilizzato per migliorare le prestazioni del web.

Come funziona l’attacco HTTP/2 Bomb

A differenza degli attacchi DoS tradizionali, che saturano la banda o inviano grandi quantità di dati, HTTP/2 Bomb sfrutta comportamenti legittimi del protocollo per costringere il server a consumare enormi quantità di RAM.

L’attacco combina due tecniche principali:

  1. Abuso di HPACK, il sistema di compressione delle intestazioni di HTTP/2. L’attaccante invia piccole intestazioni compresse che, una volta decodificate dal server, si espandono in strutture molto più grandi, generando un consumo di memoria sproporzionato.
  2. Blocco del controllo di flusso di HTTP/2. Il client rallenta o blocca volontariamente la ricezione delle risposte, impedendo al server di liberare la memoria allocata. In questo modo, anche un client con banda minima può saturare la RAM del server.

Il risultato è devastante: un singolo attaccante può causare un esaurimento della memoria in pochi secondi.

Impatto sui principali server web

I ricercatori hanno pubblicato dati di test molto chiari:

  • Envoy 1.37.2 ha raggiunto 32 GB di RAM in 10 secondi.
  • Apache httpd 2.4.67 ha saturato la memoria in 18 secondi.
  • Nginx 1.29.7 ha raggiunto livelli critici in 45 secondi.
  • Microsoft IIS su Windows Server 2025 ha consumato 64 GB in 45 secondi.

Il problema non riguarda soltanto la dimensione delle intestazioni decodificate. Molte difese esistenti limitano la dimensione totale delle intestazioni, ma l’attacco sfrutta numerosi campi di intestazione molto piccoli, che generano comunque un forte carico di memoria a causa della gestione interna delle strutture dati.

Un ulteriore aggravante è la gestione dei Cookie, i piccoli file di testo utilizzati dal browser per memorizzare informazioni di sessione, autenticazione e preferenze dell’utente. Nel protocollo HTTP/2 è possibile suddividere l’intestazione Cookie in più campi separati, una caratteristica pensata per migliorare la compatibilità ma che, in questo contesto, diventa un punto debole. In alcune implementazioni, questi campi non venivano conteggiati correttamente nei limiti di sicurezza, permettendo agli attaccanti di generare centinaia o migliaia di intestazioni senza superare le soglie previste. Questo comportamento amplifica l’impatto dell’attacco, perché ogni campo aggiuntivo contribuisce a incrementare il consumo di memoria del server, rendendo più semplice provocare un blocco del servizio.

Stato delle correzioni e CVE assegnate

Per Apache httpd, il problema è tracciato come CVE 2026 49975. La correzione è disponibile in mod_http2 versione 2.0.41, che ora conteggia correttamente le intestazioni Cookie nel limite LimitRequestFields.

Per Nginx, la vulnerabilità è stata risolta nella versione 1.29.8, introducendo la nuova direttiva max_headers, impostata di default a 1000.

Per Microsoft IIS, Envoy e Cloudflare Pingora, al momento della divulgazione non erano ancora disponibili patch ufficiali. Successivamente, Envoy ha pubblicato una correzione il 3 giugno, ma i ricercatori hanno indicato che erano ancora in corso verifiche.

Mitigazioni consigliate

Quando non è possibile aggiornare immediatamente, le raccomandazioni sono:

  • Disattivare temporaneamente HTTP/2, ad esempio in Nginx con http2 off;.
  • Per Apache httpd, disattivare HTTP/2 tramite Protocols http/1.1.
  • Ridurre LimitRequestFieldSize può mitigare parzialmente l’impatto, ma non elimina il problema perché l’attacco può essere replicato su più stream e connessioni.
  • Utilizzare componenti intermedi che impongano un limite rigoroso al numero di intestazioni per richiesta.

Gli amministratori di servizi HTTP/2 esposti su Internet dovrebbero verificare immediatamente se la propria infrastruttura è vulnerabile, applicare gli aggiornamenti disponibili e assicurarsi che i limiti sul numero di intestazioni siano correttamente configurati.

Fonte: https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb
Fonte: https://linuxiac.com/new-http-2-bomb-dos-attack-hits-nginx-apache-iis-envoy-and-pingora/

Visited 1 times, 1 visit(s) today
Se vuoi sostenermi, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che ho nel mio sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul mio negozio online, quelle mancanti possono essere comunque richieste.

Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Tag:

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.