Http2

Novo ataque DoS HTTP2 Bomb pode derrubar servidores rapidamente

Um novo ataque de negação de serviço (DoS) conhecido como HTTP/2 Bomb pode ser lançado a partir de uma única máquina, conseguindo derrubar servidores web em questão de segundos. Essa técnica explora configurações padrão do HTTP/2 em servidores amplamente utilizados, como NGINX, Apache, Microsoft IIS, Envoy e Cloudflare Pingora. O ataque combina duas metodologias conhecidas: a amplificação de compressão HPACK e a retenção de recursos ao estilo Slowloris, utilizando o controle de fluxo do HTTP/2. Ao enviar um único byte, um atacante pode forçar o servidor a alocar milhares de bytes de memória, resultando em um consumo extremo de RAM. Por exemplo, um computador doméstico com conexão de 100 Mbps pode tornar um servidor vulnerável inacessível em poucos segundos. Os testes mostraram que o Envoy e o Apache httpd são os mais afetados, consumindo 32 GB de RAM em cerca de 10 e 18 segundos, respectivamente. Embora algumas plataformas já tenham recebido patches, outras, como IIS e Envoy, ainda não têm correções disponíveis. A recomendação é desativar o HTTP/2 onde possível e implementar proxies ou firewalls que limitem o número de cabeçalhos.

Exploração de vulnerabilidade HTTP2 Bomb afeta servidores web populares

Pesquisadores de cibersegurança identificaram uma nova vulnerabilidade chamada HTTP/2 Bomb, que afeta servidores web amplamente utilizados, como NGINX, Apache HTTPD, Microsoft IIS, Envoy e Cloudflare Pingora. Essa falha permite um ataque de negação de serviço (DoS) remoto, explorando a configuração padrão do HTTP/2. A vulnerabilidade foi descoberta pela Calif, que explicou que o ataque combina duas técnicas conhecidas: uma bomba de compressão e uma técnica de manutenção de conexão semelhante ao Slowloris. O ataque visa o HPACK, o esquema de compressão de cabeçalhos do HTTP/2, onde um único byte pode resultar em uma alocação de cabeçalho completa no servidor, repetida milhares de vezes. Isso pode levar a um consumo excessivo de memória do servidor, tornando-o inacessível rapidamente. Para mitigar a vulnerabilidade, recomenda-se que os usuários do NGINX atualizem para a versão 1.29.8 ou desativem o HTTP/2, enquanto os usuários do Apache HTTPD devem atualizar para a versão 2.0.41 ou desativar o HTTP/2. No entanto, não há patches disponíveis para Microsoft IIS, Envoy e Cloudflare Pingora até o momento.

Atualização de segurança crítica do Apache HTTP Server

A Apache Software Foundation (ASF) lançou atualizações de segurança para corrigir várias vulnerabilidades no Apache HTTP Server, incluindo uma falha severa que pode levar à execução remota de código (RCE). A vulnerabilidade, identificada como CVE-2026-23918, possui uma pontuação CVSS de 8.8 e afeta a versão 2.4.66 do servidor. A falha, classificada como ‘double free e possível RCE’, ocorre no manuseio do protocolo HTTP/2. O problema foi descoberto por Bartlomiej Dmitruk, co-fundador da Striga.ai, e Stanislaw Strzalkowski, pesquisador da ISEC.pl.

Novas falhas MadeYouReset no HTTP2 permitem ataques DoS

Uma vulnerabilidade crítica, identificada como CVE-2025-8671 e chamada de “MadeYouReset”, foi descoberta em implementações do protocolo HTTP/2, permitindo que atacantes realizem ataques de negação de serviço (DoS) em larga escala. Essa falha surge de uma discrepância entre as especificações do protocolo e a forma como servidores web reais lidam com o cancelamento de streams. Quando um cliente solicita um reset de stream através de frames malformados, o protocolo considera o stream fechado, mas os servidores continuam processando a solicitação. Isso permite que atacantes abram e resetem streams rapidamente, forçando os servidores a lidar com um número excessivo de requisições simultâneas, enquanto o sistema de contagem do protocolo permanece artificialmente baixo.

Nova falha HTTP2 MadeYouReset permite ataques DDoS massivos

Uma nova vulnerabilidade crítica no protocolo HTTP/2, chamada ‘MadeYouReset’ (CVE-2025-8671), foi divulgada em 13 de agosto de 2025, apresentando riscos significativos de negação de serviço para servidores web em todo o mundo. Essa falha permite que atacantes contornem as proteções existentes, tornando os servidores completamente indisponíveis para usuários legítimos. A vulnerabilidade é uma evolução do ataque ‘Rapid Reset’, que já havia causado grandes danos em 2023. O ‘MadeYouReset’ explora os mecanismos de concorrência do HTTP/2, permitindo que os atacantes criem um trabalho concorrente praticamente ilimitado nos servidores, sem a necessidade de recursos substanciais. Isso gera um desequilíbrio de custo que torna o ataque altamente eficaz. A pesquisa, conduzida por acadêmicos da Universidade de Tel Aviv e apoiada pela Imperva, identificou que a falha afeta várias implementações populares de servidores web, como Netty, Apache Tomcat e F5 BIG-IP. Organizações que utilizam servidores habilitados para HTTP/2 devem revisar os avisos dos fornecedores e aplicar patches imediatamente, pois a vulnerabilidade pode levar a quedas completas dos sistemas.

Vulnerabilidade MadeYouReset ameaça servidores HTTP2 com DoS

Pesquisadores identificaram uma nova técnica de ataque chamada MadeYouReset, que afeta várias implementações do protocolo HTTP/2, permitindo a realização de ataques de negação de serviço (DoS) em larga escala. Essa vulnerabilidade contorna o limite de 100 requisições HTTP/2 simultâneas por conexão TCP, que foi estabelecido para mitigar ataques DoS. Com o MadeYouReset, um atacante pode enviar milhares de requisições, causando a exaustão de recursos do servidor e, em alguns casos, levando a falhas de memória. A vulnerabilidade foi identificada com o CVE-2025-8671 e impacta produtos como Apache Tomcat, F5 BIG-IP e Netty. O ataque explora a forma como os servidores lidam com o quadro RST_STREAM, permitindo que um atacante induza o servidor a resetar streams válidos, sem precisar enviar um quadro RST_STREAM. Essa técnica representa uma evolução nas vulnerabilidades do HTTP/2, que já enfrentou outros ataques como Rapid Reset e CONTINUATION Flood. O CERT/CC alertou que a complexidade dos abusos de protocolos modernos torna a proteção contra ataques como o MadeYouReset mais crítica do que nunca.