ウェブサーバーを数秒以内にダウンさせる「HTTP/2 Bomb」攻撃がOpenAIのCodexを使って発見される

普通の家庭用PCで数秒以内にサーバーをダウンさせられるDoS攻撃手法をセキュリティ研究者が発見しました。

Codex Discovered a Hidden HTTP/2 Bomb - Calif
https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb

New 'HTTP/2 Bomb' DoS attack crashes web servers in under a minute
https://www.bleepingcomputer.com/news/security/new-http-2-bomb-dos-attack-crashes-web-servers-in-under-a-minute/

今回発見された攻撃は、これまで知られていた攻撃「HPACK圧縮増幅」と、HTTP/2のフロー制御停止によるSlowloris型のリソース保持を組み合わせた手法です。nginx、Apache HTTP Server、Microsoft IIS、Envoy、Cloudflare Pingoraなどの主要なウェブサーバーのデフォルト構成となっているHTTP/2設定で機能します。

HPACK圧縮増幅攻撃は、HPACK動的テーブルにヘッダーを挿入し、その後1バイト程度の大きさしかないコンパクトなインデックス表現を用いてそのヘッダーを繰り返し参照するものです。その結果、攻撃者が送信した1バイトがサーバー側で数千バイトのメモリ割り当てを引き起こします。

攻撃の第2段階で、ゼロバイトのフロー制御ウィンドウを通知し、サーバーが応答の送信を完了できないようにします。この状況では、リクエストは完全に完了することがなく、割り当てられたメモリは解放されないまま増え続けます。

研究者は「100Mbps接続の家庭用PCでも、脆弱(ぜいじゃく)なサーバーを数秒以内に利用不能にできます。Apache httpdおよびEnvoyに対しては、単一クライアントが約20秒で32GBのサーバーメモリを消費し、それを保持できます」と述べました。

研究者がテストしたところ、Envoy 1.37.2は約10秒で32GBのRAMが枯渇し、Apache httpd 2.4.67は約18秒で32GB、nginx 1.29.7は約45秒で32GBのRAM、IIS(Windows Server 2025)は約45秒で64GBのRAMが枯渇したとのことです。

研究者らは、これらの攻撃を構成するそれぞれの要素は特に新しいものではないものの、両者を組み合わせることで非常に大きな影響が生じると強調しています。研究者らはOpenAIのコーディングエージェント「Codex」を用いて組み合わせを見つけました。

研究者らはサーバーを管理する企業に問題を報告しており、nginxとApache、Envoyは修正済みとのこと。Microsoft IIS、Pingora向けのパッチは未定です。

これらのウェブサーバーでは、可能であればHTTP/2を無効化し、厳格なヘッダー数制限を適用するプロキシやファイアウォールを前段に配置することが推奨されています。