“HTTP/2 Bomb” DoS hücumu veb-serverləri saniyələr ərzində sıradan çıxara bilər

HTTP/2 protokolundan istifadə edən veb-serverlərə qarşı “HTTP/2 Bomb” adlı yeni xidmətin dayandırılması (DoS) hücumu aşkarlanıb. Hücum bir cihaz üzərindən həyata keçirilə bilər və standart konfiqurasiya ilə çalışan bəzi serverlərin saniyələr ərzində əlçatmaz vəziyyətə düşməsinə səbəb ola bilər.

Məlumata əsasən hücum NGINX, Apache HTTP Server, Microsoft IIS, Envoy və Cloudflare Pingora kimi geniş istifadə olunan veb-serverlərin standart HTTP/2 konfiqurasiyalarına təsir göstərə bilir. “HTTP/2 Bomb” əvvəllər məlum olan iki DoS texnikasını birləşdirir: HTTP/2 üzərindən yaddaş istifadəsinin süni şəkildə artırılması və axın nəzarəti mexanizmindən istifadə etməklə resursların uzun müddət saxlanılması.

Hücum zamanı təhdid aktoru kiçik həcmli sorğular göndərərək server tərəfində böyük həcmdə yaddaş ayrılmasına səbəb olur. Bəzi hallarda hücumçu tərəfindən göndərilən çox kiçik məlumat serverdə minlərlə dəfə artıq yaddaş istifadəsi yarada bilər. Bu isə server resurslarının qısa müddətdə tükənməsi ilə nəticələnir.

Hücumun növbəti mərhələsində ayrılmış yaddaşın yenidən istifadəyə qaytarılmasının qarşısı alınır. Bunun üçün HTTP/2 axın nəzarəti imkanlarından sui-istifadə edilir və serverin cavabı tamamlaya bilməməsi təmin olunur. Nəticədə sorğular açıq vəziyyətdə qalır avə serverin ümumi işləmə qabiliyyəti pozulur.

Aparılan testlər zamanı Envoy 1.37.2 versiyasında 32 GB RAM təxminən 10 saniyəyə, Apache httpd 2.4.67 versiyasında 32 GB RAM təxminən 18 saniyəyə, nginx 1.29.7 versiyasında 32 GB RAM təxminən 45 saniyəyə, IIS üzərində isə 64 GB RAM təxminən 45 saniyəyə tükənib.

Hücumun əsas təhlükəli tərəfi mövcud müdafiə mexanizmlərinin bir hissəsini keçə bilməsidir. Çünki istifadə olunan sorğu elementləri çox kiçik olur və ümumi ölçü limitləri işə düşmür. Resurs istifadəsinin artması isə serverin daxili emal və yaddaş ayırma mexanizmləri hesabına baş verir.

Problemin bəzi platformalarda artıq aradan qaldırıldığı bildirilir. NGINX 1.29.8 versiyasında yeni “max_headers” direktivi əlavə edilib, Apache httpd mod_http2 2.0.41 versiyasında isə məsələ CVE-2026-49975 identifikatoru ilə düzəldilib. IIS, Envoy və Pingora üçün isə hələki müvafiq yeniləmə mövcud deyil.