Um novo ataque de negação de serviço (DoS) conhecido como HTTP/2 Bomb pode ser lançado a partir de uma única máquina, conseguindo derrubar servidores web em questão de segundos. Essa técnica explora configurações padrão do HTTP/2 em servidores amplamente utilizados, como NGINX, Apache, Microsoft IIS, Envoy e Cloudflare Pingora. O ataque combina duas metodologias conhecidas: a amplificação de compressão HPACK e a retenção de recursos ao estilo Slowloris, utilizando o controle de fluxo do HTTP/2. Ao enviar um único byte, um atacante pode forçar o servidor a alocar milhares de bytes de memória, resultando em um consumo extremo de RAM. Por exemplo, um computador doméstico com conexão de 100 Mbps pode tornar um servidor vulnerável inacessível em poucos segundos. Os testes mostraram que o Envoy e o Apache httpd são os mais afetados, consumindo 32 GB de RAM em cerca de 10 e 18 segundos, respectivamente. Embora algumas plataformas já tenham recebido patches, outras, como IIS e Envoy, ainda não têm correções disponíveis. A recomendação é desativar o HTTP/2 onde possível e implementar proxies ou firewalls que limitem o número de cabeçalhos.
Fonte: https://www.bleepingcomputer.com/news/security/new-http-2-bomb-dos-attack-crashes-web-servers-in-under-a-minute/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
03/06/2026 • Risco: ALTO
ATAQUE
Novo ataque DoS HTTP/2 Bomb pode derrubar servidores rapidamente
RESUMO EXECUTIVO
O ataque HTTP/2 Bomb combina técnicas conhecidas para criar um novo vetor de ataque que pode comprometer rapidamente servidores web. Com a possibilidade de esgotar grandes quantidades de RAM, os CISOs devem estar atentos às atualizações de segurança e considerar desativar o HTTP/2 em ambientes vulneráveis.
💼 IMPACTO DE NEGÓCIO
Financeiro
Interrupções de serviço podem resultar em perdas financeiras significativas e danos à reputação.
Operacional
Servidores ficaram inacessíveis devido ao esgotamento de memória.
Setores vulneráveis
['Tecnologia da Informação', 'E-commerce', 'Serviços Financeiros']
📊 INDICADORES CHAVE
Envoy 1.37.2 esgotou 32 GB de RAM em cerca de 10 segundos.
Indicador
Apache httpd 2.4.67 esgotou 32 GB de RAM em aproximadamente 18 segundos.
Contexto BR
IIS esgotou 64 GB de RAM em cerca de 45 segundos.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se os servidores estão atualizados com os patches mais recentes.
2
Desativar o HTTP/2 onde possível e implementar proxies que limitem cabeçalhos.
3
Monitorar o uso de memória dos servidores e a atividade de tráfego HTTP/2.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a vulnerabilidade de servidores críticos e a possibilidade de interrupções de serviço significativas.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD em relação à disponibilidade e segurança dos dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
