"HTTP/2 Bomb" - Lỗ hổng khiến máy chủ web sập đổ chỉ trong vài giây

Các kỹ thuật từ chối dịch vụ (DoS) đã biết từ trước có thể được xâu chuỗi lại với nhau trong một phương thức khai thác mới có khả năng khiến các máy chủ web lớn bị sập, các nhà nghiên cứu bảo mật tại Calif cảnh báo.

Được đặt tên là HTTP/2 Bomb và được phát hiện nhờ sử dụng OpenAI’s Codex, cuộc tấn công này kết hợp một "bom nén" (compression bomb) nhắm vào sơ đồ nén header của HTTP/2 (HPACK) với kỹ thuật giữ kiểu Slowloris ngăn chặn máy chủ giải phóng bộ nhớ.

Tấn công HTTP Request Smuggling

Theo công ty an ninh mạng có trụ sở tại California, cuộc tấn công này tiềm ẩn ảnh hưởng đến hơn 880.000 trang web hỗ trợ HTTP/2 và chạy các cấu hình mặc định của NGINX, Apache HTTPD, Microsoft IIS, Envoy hoặc Cloudflare Pingora.

Hơn nữa, công ty cho biết một cuộc tấn công có thể được triển khai từ một máy tính cá nhân sử dụng kết nối mạng 100 Mbps và có thể khiến bất kỳ máy chủ nào trong số này trở nên không khả dụng chỉ trong vài giây.

Cơ chế hoạt động của HTTP/2 Bomb

Các kỹ thuật được xâu chuỗi bởi phương thức khai thác này không hoàn toàn mới. Thực tế, ba vấn đề cơ bản đã được công bố cách đây một thập kỷ, trong khi một vấn đề khác đã được giải quyết vào năm ngoái.

Phần đầu tiên của phương thức khai thác sử dụng HPACK Bomb (được theo dõi dưới mã CVE-2016-6581), một cuộc tấn công ở lớp nén dựa vào các tin nhắn nhỏ sẽ biến thành gigabyte dữ liệu khi đến máy chủ đích. Năm ngoái, cuộc tấn công này đã được chứng minh trên Apache HTTPD với tỷ lệ khuếch đại 4000 lần và đã được khắc phục trong phiên bản Apache HTTP Server 2.4.64 dưới mã CVE-2025-53020.

Phần thứ hai của phương thức khai thác mới nhắm vào CVE-2016-8740 và CVE-2016-1546 (Slow Read), hai lỗ hổng của Apache HTTPD dẫn đến tình trạng DoS thông qua các khung Continuation trong yêu cầu HTTP/2 và thông qua việc sửa đổi cửa sổ kiểm soát luồng (flow-control windows).

Các vấn đề kiểu HTTP/2 Slowloris này bị lạm dụng để làm cạn kiệt bộ nhớ bằng cách quảng cáo cửa sổ kiểm soát luồng zero-byte để máy chủ không gửi phản hồi, sau đó đặt lại thời gian chờ gửi để ngăn máy chủ giải phóng cấp phát bộ nhớ.

Hình ảnh minh họa bảo mật

Calif lưu ý: "Điều mới mẻ ở đây là nơi khuếch đại đến từ đâu. Các kiểu bomb kinh điển nhét một giá trị lớn vào bảng và tham chiếu nó nhiều lần, vì vậy các máy chủ đã học cách giới hạn tổng kích thước header đã giải mã."

"Biến thể của chúng tôi đi theo hướng ngược lại: header gần như trống rỗng và sự khuếch đại đến từ việc theo dõi từng mục mà máy chủ cấp phát xung quanh nó. Giới hạn kích thước giải mã không bao giờ kích hoạt vì gần như không có gì để giải mã," công ty giải thích thêm.

Calif cũng đã xác định được một cách vượt qua kiểm soát đối với các máy chủ giới hạn số lượng trường header và đã phát hành mã khái niệm (PoC) để chứng minh cuộc tấn công.

Vai trò của AI trong việc phát hiện lỗ hổng

Một điểm đáng chú ý khác là cách phương thức khai thác này được tìm thấy. Cả hai nửa của vấn đề đã được công khai trong một thập kỷ. Những gì Codex đã làm là đọc các cơ sở mã, nhận ra rằng hai phần này kết hợp với nhau, và xây dựng cuộc tấn công tổng hợp.

Sự kết hợp này rất rõ ràng khi bạn nhìn thấy nó, nhưng theo như chúng tôi biết, chưa có con người nào ghép chúng lại để tấn công các máy chủ này, Calif lưu ý.

Về tình trạng vá lỗi, công ty cho biết NGINX đã khắc phục lỗi này vào tháng Tư, trong khi Apache đã tung ra các bản sửa lỗi vào cuối tháng Năm (và phát hành CVE-2026-49975). Microsoft IIS, Envoy và Cloudflare Pingora chưa được vá lỗi vào thời điểm bài viết này được thực hiện.

Các quản trị viên hệ thống được khuyến nghị cập nhật ngay lập tức các phần mềm máy chủ web của mình để ngăn chặn nguy cơ bị tấn công bởi HTTP/2 Bomb.