Pesquisadores de cibersegurança identificaram uma nova vulnerabilidade chamada HTTP/2 Bomb, que afeta servidores web amplamente utilizados, como NGINX, Apache HTTPD, Microsoft IIS, Envoy e Cloudflare Pingora. Essa falha permite um ataque de negação de serviço (DoS) remoto, explorando a configuração padrão do HTTP/2. A vulnerabilidade foi descoberta pela Calif, que explicou que o ataque combina duas técnicas conhecidas: uma bomba de compressão e uma técnica de manutenção de conexão semelhante ao Slowloris. O ataque visa o HPACK, o esquema de compressão de cabeçalhos do HTTP/2, onde um único byte pode resultar em uma alocação de cabeçalho completa no servidor, repetida milhares de vezes. Isso pode levar a um consumo excessivo de memória do servidor, tornando-o inacessível rapidamente. Para mitigar a vulnerabilidade, recomenda-se que os usuários do NGINX atualizem para a versão 1.29.8 ou desativem o HTTP/2, enquanto os usuários do Apache HTTPD devem atualizar para a versão 2.0.41 ou desativar o HTTP/2. No entanto, não há patches disponíveis para Microsoft IIS, Envoy e Cloudflare Pingora até o momento.
Fonte: https://thehackernews.com/2026/06/new-http2-bomb-vulnerability-allows.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
03/06/2026 • Risco: ALTO
VULNERABILIDADE
Exploração de vulnerabilidade HTTP/2 Bomb afeta servidores web populares
RESUMO EXECUTIVO
A vulnerabilidade HTTP/2 Bomb pode causar sérios problemas de disponibilidade para servidores web populares, exigindo que os CISOs tomem medidas imediatas para mitigar os riscos associados. A falta de patches para algumas plataformas aumenta a urgência da situação.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido à indisponibilidade dos serviços.
Operacional
A vulnerabilidade pode levar a um consumo excessivo de memória, tornando o servidor inacessível.
Setores vulneráveis
['Tecnologia da Informação', 'E-commerce', 'Serviços Financeiros']
📊 INDICADORES CHAVE
Um único cliente pode consumir até 32GB de memória do servidor em cerca de 20 segundos.
Indicador
Um computador doméstico com conexão de 100Mbps pode tornar um servidor vulnerável inacessível em segundos.
Contexto BR
O HPACK pode resultar em uma alocação de cabeçalho completa no servidor, repetida milhares de vezes.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a versão do servidor web e a configuração do HTTP/2.
2
Atualizar para as versões recomendadas ou desativar o HTTP/2 se a atualização não for possível.
3
Monitorar o uso de memória do servidor e as conexões HTTP ativas.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com essa vulnerabilidade, pois ela pode comprometer a disponibilidade dos serviços e afetar a experiência do usuário.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD, especialmente em relação à disponibilidade de serviços que tratam dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
