既知のサービス拒否(DoS)技術を組み合わせることで、主要なWebサーバをオフラインにできる新たなエクスプロイトが発見されたと、セキュリティ研究者らが警告しています。
HTTP/2 Bombと名付けられたこのエクスプロイトはOpenAIのCodexを使って発見されたもので、HTTP/2のヘッダー圧縮方式(HPACK)を標的とした圧縮ボムと、サーバのメモリ解放を妨げるSlowloris型の接続維持手法を組み合わせています。
カリフォルニア州を拠点とするサイバーセキュリティ企業Califによると、このエクスプロイトはHTTP/2をサポートし、NGINX、Apache HTTPD、Microsoft IIS、Envoy、またはCloudflare Pinoraのデフォルト設定で運用されている88万以上のWebサイトに影響を及ぼす可能性があります。
さらに同社によれば、100Mbps接続の一般的な家庭用コンピューターからこの攻撃を実行でき、数秒以内に対象サーバをダウンさせることが可能だといいます。
このエクスプロイトで組み合わされている技術自体は新しいものではありません。根底にある問題のうち3つは10年前に公開されており、もう1つは昨年修正されています。
エクスプロイトの第一の要素は、CVE-2016-6581として追跡されているHPACK Bombです。これは圧縮レイヤーへの攻撃で、宛先サーバに到達すると数ギガバイトのデータに膨張する小さなメッセージを利用します。
昨年、この攻撃はApache HTTPDに対して4000倍の増幅率で実証され、CVE-2025-53020としてApache HTTP Serverバージョン2.4.64で修正されました。
新たなエクスプロイトの第二の要素は、CVE-2016-8740とCVE-2016-1546(Slow Read)を標的とするものです。これらはApache HTTPDの2つの脆弱性で、HTTP/2リクエスト内のContinuationフレームや変更されたフロー制御ウィンドウを通じてDoS状態を引き起こします。
これらHTTP/2のSlowloris型の問題は、ゼロバイトのフロー制御ウィンドウを通知してサーバのレスポンス送信を止め、さらに送信タイムアウトをリセットすることでサーバがメモリを解放できないようにするメモリ枯渇攻撃に悪用されます。
「ここで新しいのは、増幅がどこから来るかという点です。古典的なボムはテーブルに大きな値を詰め込んで繰り返し参照するため、サーバはデコードされたヘッダサイズの合計に上限を設けるようになりました」とCalifは指摘しています。
「私たちの手法はその逆です。ヘッダはほぼ空で、増幅はサーバがそれを管理するためにエントリごとに割り当てるブックキーピングから生じます。デコードすべきものがほとんど存在しないため、デコードサイズの制限は発動しません」と同社は説明しています。
Califはまた、ヘッダーフィールド数に上限を設けているサーバへの回避手法も発見し、攻撃を実証する概念実証(PoC)コードを公開しました。
同社によると、NGINXは4月にこの問題を修正し、Apacheは5月下旬にパッチを展開(CVE-2026-49975を発行)しました。Microsoft IIS、Envoy、Cloudflare Pinoraは執筆時点では未修正のままです。
「もう一つ注目すべきは、このエクスプロイトがどのように発見されたかという点です。両方の手法はすでに10年前から公開されていました。Codexがやったことは、コードベースを読み込み、2つが組み合わせられることを認識し、組み合わせた攻撃を構築することでした。一度見れば自明な組み合わせですが、われわれの知る限り、これらのサーバに対してそれを組み合わせた人間は今まで誰もいませんでした」とCalifは述べています。
翻訳元: https://www.securityweek.com/http-2-bomb-exploit-knocks-web-servers-offline-in-seconds/
