HTTP/2 Bomb: Chỉ cần mạng gia đình cũng có thể đánh sập máy chủ trong vài giây
- Camy Le
- 3 ngày trước
- 3 phút đọc
Nhà nghiên cứu thuộc công ty An ninh mạng Calif vừa phát hiện một mối đe dọa nghiêm trọng mang tên HTTP/2 Bomb, đe dọa trực tiếp đến cấu hình mặc định của các máy chủ web phổ biến nhất thế giới như NGINX, Apache HTTPD, Microsoft IIS, Envoy và Cloudflare Pingora.
Đáng sợ ở chỗ, không cần tới các mạng lưới máy tính ma (botnet) khổng lồ, một kẻ tấn công đơn lẻ với đường truyền internet gia đình thông thường (băng thông 100Mbps) cũng có thể ép máy chủ cạn kiệt hàng chục gigabyte bộ nhớ chỉ trong vài giây.
Cơ chế "độc hại": Khi tiêu đề trống rỗng biến thành vũ khí
Thông thường, giao thức HTTP/2 sử dụng thuật toán HPACK để nén các tiêu đề (header - thông tin bổ sung của yêu cầu mạng) nhằm tiết kiệm băng thông. Máy chủ sẽ lưu các tiêu đề này vào một bảng động; người gửi chỉ cần gửi 1 byte chỉ mục để gọi lại tiêu đề đó.
Các cuộc tấn công nén trước đây thường nhồi nhét dữ liệu thật lớn vào tiêu đề, khiến các máy chủ ngày nay đều đã lập hàng rào giới hạn dung lượng để phòng ngừa. Để "né" hàng rào này, HTTP/2 Bomb đi theo hướng ngược lại: gửi các tiêu đề gần như trống rỗng.
Kẻ tấn công gửi hàng nghìn tham chiếu 1 byte trong một yêu cầu duy nhất. Băng thông truyền tải gần như bằng không, nhưng máy chủ lại phải tiêu tốn một khoản chi phí quản lý vùng nhớ ẩn xung quanh mỗi mục đó (từ 70 byte với NGINX, IIS, Pingora cho đến khoảng 4.000 byte với Apache, Envoy).
Ngay sau khi kích nổ "bom bộ nhớ", kẻ tấn công áp dụng cơ chế điều khiển luồng để thông báo cửa sổ nhận dữ liệu bằng 0 byte, chặn không cho máy chủ hoàn tất phản hồi. Kết hợp với việc gửi liên tục các tín hiệu chỉnh sửa WINDOW_UPDATE dung lượng 1 byte để gia hạn thời gian chờ, kẻ tấn công có thể ghìm chặt các vùng nhớ này bao lâu tùy thích. Một máy khách đơn lẻ có thể chiếm giữ tới 32GB bộ nhớ của Apache hoặc Envoy chỉ trong vòng 20 giây, biến sự quá tải tạm thời thành tình trạng tê liệt vĩnh viễn.
Theo dữ liệu từ Shodan, hiện có hơn 880.000 trang web công khai hỗ trợ HTTP/2 đang đứng trước rủi ro bị khai thác bởi lỗ hổng này.
Sai lầm từ quy chuẩn và giải pháp khẩn cấp
Nhóm nghiên cứu kết luận rằng gốc rễ của hiểm họa bắt nguồn từ chính tài liệu quy chuẩn quốc tế RFC 7541 (về HPACK). Tài liệu này chỉ nhìn nhận rủi ro bộ nhớ dựa trên dung lượng dữ liệu được giải nén mà hoàn toàn bỏ qua chi phí quản lý vận hành phát sinh trên từng mục tiêu đề nhỏ. Việc năm hệ thống máy chủ độc lập cùng mắc một sai lầm y hệt nhau đã minh chứng cho lỗ hổng thiết kế này.
Biến thể tấn công nhắm vào Apache HTTPD đã được định danh mã lỗi là CVE-2026-49975 (sau khi được báo cáo trách nhiệm vào ngày 27 tháng 5 năm 2026) và đã được kỹ sư Stefan Eissing vá lỗi.
Để bảo vệ hệ thống trước HTTP/2 Bomb và các mã lỗi liên quan (như CVE-2016-6581, CVE-2025-53020), các quản trị viên cần thực hiện ngay các khuyến nghị sau:
NGINX: Cập nhật lên phiên bản 1.29.8+ để bổ sung chỉ thị max_headers (giới hạn mặc định 1.000 tiêu đề). Nếu chưa thể nâng cấp, hãy tắt HTTP/2 bằng lệnh http2 off;.
Apache HTTPD: Cập nhật lên phiên bản mod_http2 v2.0.41. Giải pháp thay thế tạm thời là cấu hình Protocols http/1.1 để vô hiệu hóa HTTP/2.
Microsoft IIS, Envoy và Cloudflare Pingora: Chưa có bản vá chính thức tại thời điểm công bố. Các tổ chức được khuyến nghị triển khai thêm tường lửa ứng dụng (WAF/WAAP) để sớm phát hiện và ngăn chặn các hành vi khai thác bất thường.
Nguồn tham khảo: TheHackerNews
Bình luận