TokyoBlackHatNews

gbhackers.com 4分で読了

「HTTP/2 Bomb」リモートDoS攻撃がnginx、Apache、IIS、Envoy、Cloudflare Pingoraに影響

新たに公開された「HTTP/2 Bomb」攻撃が、Webインフラエコシステム全体に深刻な懸念を引き起こしています。この攻撃は、nginx、Apache httpd、Microsoft IIS、Envoy、Cloudflare Pingoraといった広く普及しているサーバーに対して、リモートからサービス拒否(DoS)状態を引き起こすことができます。

HTTP/2 Bomb攻撃の概要

CodexチームのセキュリティリサーチャーであるQuang Luong氏は、HTTP/2において長年知られてきた2つの脆弱性を組み合わせた新たな悪用手法を発見しました。それは、HPACKヘッダー圧縮の悪用とフロー制御の妨害です。

それぞれの手法は単独では以前から知られていましたが、組み合わせることで、主要Webサーバーのデフォルト設定に影響を与える強力なメモリ枯渇攻撃ベクターとなります。

Image

Califの報告によると、この攻撃は低帯域幅のクライアント1台で、数秒以内にサーバーの大量メモリを消費させることができます。

テストでは、100Mbps接続の1台のマシンで、Apache httpdおよびEnvoyサーバーに20秒以内に最大32GBのメモリを割り当てさせ、事実上応答不能な状態に追い込むことができました。

この攻撃手法は、2つのメカニズムを基盤としています。

  • HPACKインデックス参照ボム:HTTP/2はHPACK(RFC 7541)を使用してインデックス参照によりヘッダーを圧縮します。攻撃者は小さなヘッダーを動的テーブルに挿入し、1バイトのインデックスを使って繰り返し参照します。参照のたびにサーバーはフルヘッダーエントリ分のメモリを割り当てることを強いられ、Envoyでは約5,700:1、Apacheでは約4,000:1という増幅率をもたらします。
  • HTTP/2フロー制御の悪用:攻撃者はフロー制御ウィンドウをゼロバイトとして通知し、サーバーがレスポンスを完了できないようにします。定期的に1バイトのWINDOW_UPDATEフレームを送信して接続を維持しつつ、割り当て済みのメモリをすべて保持し続けることで、Slowloris型のリソース枯渇状態を作り出します。

重要な回避手法として、CookieヘッダーをCookieヘッダーを複数の「クラム(crumbs)」に分割する方法があります。一部のサーバーはこれをヘッダー制限のカウント対象としないため、安全対策を回避しながら無制限にヘッダーを展開することが可能になります。

影響を受けるシステムと露出状況

この脆弱性は、以下のデフォルトのHTTP/2実装に影響します。

  • nginx(1.29.8未満)
  • Apache httpd(mod_http2 2.0.41未満)
  • Microsoft IIS(Windows Server 2025)
  • Envoyプロキシ
  • Cloudflare Pingora

インターネット全体のスキャンによると、これらの技術を使用した880,000件以上のHTTP/2エンドポイントが露出していますが、多くはCDNの背後に部分的に保護されています。

この新たな攻撃は、オリジナルのHPACK Bomb(CVE-2016-6581)、CVE-2016-8740CVE-2016-1546といったHTTP/2 Slowloris型の問題、そして後にCVE-2025-53020として追跡されたApache固有のHPACK増幅など、10年にわたる関連研究を基盤としています。

新たに割り当てられたCVE-2026-49975は、CookieヘッダーをLimitRequestFieldsのカウント対象とするApache httpdの修正をカバーしており、HTTP/2 Bombが悪用する主要な回避手法の一つに直接対処しています。

緩和策は各ベンダーで順次提供されていますが、対応状況にはばらつきがあります。nginxについては、デフォルト値1000を持つmax_headersディレクティブが導入された1.29.8以降へのアップグレードが推奨されます。すぐにパッチを適用できない環境では、http2 offディレクティブでHTTP/2を無効化することが推奨されます。

Apacheユーザーは、スタンドアロンモジュールおよびtrunkとして提供されているmod_http2 v2.0.41から修正を入手できますが、安定版の2.4.xリリースにはまだ含まれていません。

一時的な対策として、Apacheの展開環境ではProtocol http/1.1を使用してHTTP/2を無効化し、LimitRequestFieldSizeを厳しく設定してストリームごとの影響を軽減することも検討できますが、これはあくまで部分的な緩和策であることを理解した上で適用してください。

開示時点において、Microsoft IIS、Envoy、Pingoraには公開パッチが存在しないため、各組織には可能な限りHTTP/2を無効化するか、Cookieクラムを含むリクエストあたりのヘッダー数に厳しい制限を課すリバースプロキシまたはCDNの背後にサービスを配置することが推奨されます。

翻訳元: https://gbhackers.com/http-2-bomb-remote-dos-exploit/

ソース: gbhackers.com
#Apache httpd #Cloudflare Pingora #CVE-2026-49975 #DoS攻撃 #Envoy #HPACK圧縮 #HTTP/2 Bomb #Nginx #Webサーバー脆弱性 #メモリ枯渇攻撃

関連記事

HazyBeaconキャンペーン:AWSを悪用したステルスC2通信

Windows SearchのURIハンドラの脆弱性、NTLMv2ハッシュをリモート攻撃者に漏洩

CISAが米国のタンクゲージシステムを標的にしたサイバー攻撃について警告