Nur ein Client nötig: HTTP/2 Bomb legt Webserver in Sekunden lahm
Sicherheitsforscher von Calif haben mithilfe von OpenAIs KI-Assistenten Codex eine HTTP/2 Bomb genannte Denial-of-Service-Schwachstelle entdeckt, die unzählige Webserver betrifft. Laut Blogbeitrag der Forscher(öffnet im neuen Fenster) kann ein einzelner Client innerhalb weniger Sekunden den Speicher eines Webservers volllaufen lassen. Dafür soll clientseitig eine Internetverbindung mit nur 100 MBit/s ausreichen.
Als für HTTP/2 Bomb anfällig gelten den Angaben zufolge mindestens Nginx, Apache HTTPD, Microsoft IIS, Envoy und Cloudflare Pingora. Diese sollen jeweils in ihrer standardmäßigen HTTP/2-Konfiguration angreifbar sein.
Die Sicherheitslücke betrifft damit die Webserver-Software von Anbietern, die zusammen einen Marktanteil von über 80 Prozent(öffnet im neuen Fenster) erreichen. Damit dürften weltweit Hunderttausende von Webservern betroffen sein. Die Angriffsfläche ist also ähnlich groß wie bei der im April 2024 aufgedeckten Continuation-Flood-Attacke.
Client lässt Server Header sammeln
Der Angriff nutzt unter anderem einen Fehler im für die Header-Komprimierung des HTTP/2-Protokolls verwendeten HPack-Mechanismus(öffnet im neuen Fenster) aus. "Jede Seite einer HTTP/2-Verbindung verwaltet eine dynamische Tabelle mit den zuletzt gesehenen Headern. Ein Absender kann einen Header einmalig in die Tabelle einfügen und bei späteren Anfragen anhand eines Indexes – in der Regel ein einzelnes Byte – darauf verweisen", erklären die Forscher.
Der Empfänger nutze diesen Index daraufhin, um eine Kopie des vollständigen Headers in die Anfrage einzubauen, die er gerade vorbereite. Ein Client könne einen Webserver damit innerhalb kurzer Zeit zur Verarbeitung großer Datenmengen zwingen. "Ein Byte auf der Leitung wird zu einer vollständigen Header-Zuweisung auf dem Server, die sich pro Anfrage Tausende Male wiederholt", heißt es im Blog.
Darüber hinaus könne der Angreifer den anvisierten Server durch Übermittlung eines sogenannten "zero-byte flow-control window" sowie das wiederholte Senden von 1-Byte-Window_Update-Frames daran hindern, seine Antwort abzusenden, so dass diese im Speicher verbleibt. Damit könne ein Client "die Verbindung nahezu kostenlos offenhalten und jedes belegte Byte so lange blockieren, wie er möchte", so die Forscher.
32 GByte in Sekunden gefüllt
Wie schnell die vom Client übermittelten Daten den Speicher des Webservers füllen, hängt von der verwendeten Software ab. Am stärksten war der Effekt bei den Tests der Forscher bei Envoy. Dort wurde bei der getesteten Version 1.37.2 ein Verhältnis von 5.700:1 erreicht. Für jedes vom Client übertragene Byte wurden also im Speicher des Servers 5.700 Bytes belegt.
Bei Apache HTTPD (Version 2.4.67) lag dieses Verhältnis bei 4.000:1. Bei den übrigen Webservern fiel es deutlich niedriger aus: Nginx 1.29.7 erreichte ein Verhältnis von 70:1, Microsoft IIS unter Windows Server 2025 eines von 68:1 und Cloudflare Pingora 0.8.0 das Verhältnis 62:1. Im Falle von Envoy reichte der erzielte Wert aus, um auf einem Webserver innerhalb von etwa zehn Sekunden 32 GByte Speicher zu füllen, bei Nginx dauerte ein solcher Angriff etwa 45 Sekunden.
Patches nur teilweise verfügbar
Für Nginx(öffnet im neuen Fenster) und Apache HTTPD(öffnet im neuen Fenster) gibt es bereits Korrekturen, die laut Calif nach Meldung der Forscher in den Monaten April und Mai jeweils zeitnah bereitgestellt wurden. Für Envoy war ein Patch zum Offenlegungszeitpunkt wohl noch in Arbeit, ist inzwischen aber auch veröffentlicht(öffnet im neuen Fenster). Für Microsoft IIS und Cloudflare Pingora soll bisher aber kein Patch verfügbar sein.
Bei Servern, die aktuell noch nicht gepatcht werden können, empfehlen die Forscher, HTTP/2 nach Möglichkeit zu deaktivieren oder ein System vorzuschalten, welches eine Obergrenze für die Anzahl der Header pro Anfrage erzwingt.
Wer die Anfälligkeit eines eigenen Servers testen will, findet auf Github(öffnet im neuen Fenster) einen Proof-of-Concept-Exploit. Die Calif-Forscher betonen, dass die Bugs, aus denen sich HTTP/2 Bomb zusammensetzt, schon seit etwa einem Jahrzehnt bestehen. Codex soll die Ursachen durch eine Quellcodeanalyse erkannt und aus seinen Erkenntnissen den Angriff entwickelt haben.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.