Nova prijetnja jedno računalo ruši web-stranice za 10 sekundi

Napad nazvan HTTP/2 Bomb koristi slabosti protokola HTTP/2 i iz jedne mašine može onesposobiti poslužitelje u manje od minute.

Napadi uskraćivanjem usluge (DDoS) odavno su noćna mora za vlasnike web stranica, no nova tehnika koju su otkrili istraživači kalifornijske tvrtke Calif donosi zastrašujuću novost: za rušenje poslužitelja više nije potreban veliki botnet, već samo jedno obično osobno računalo. Napad nazvan HTTP/2 Bomb iskorištava slabosti modernog protokola HTTP/2 i može onesposobiti poslužitelje u svega nekoliko sekundi.

Napadi uskraćivanjem usluge (DDoS) oduvijek su bili noćna mora za administratore web stranica, ali i jedan od najosnovnijih oblika cyber napada. Njihova je suština zatrpavanje poslužitelja golemim brojem zahtjeva, što dovodi do zasićenja i potpune nedostupnosti usluge. Za tako masivan istovremeni promet obično je potrebna velika mreža zaraženih uređaja, poznata kao botnet. Ti se divovski botneti mogu iznajmiti, a često se oslanjaju na tisuće slabo zaštićenih uređaja poput kamera, routera, pametnih kućanskih aparata i neažuriranih računala.

No, zamislite da je za ovakav napad dovoljno samo jedno računalo. Upravo je to novost koju je dokumentirala kalifornijska tvrtka za cyber sigurnost Calif. Detalji ove tehnike bit će predstavljeni na konferenciji Real World AI Security, koja se održava od 23. do 25. lipnja na Sveučilištu Stanford u SAD-u.

Za otkrivanje ove ranjivosti istraživači iz Califa koristili su OpenAI-jev AI model Codex. Novi DDoS napad nazvan je HTTP/2 Bomb. S jedne jedine mašine moguće je onesposobiti web poslužitelje u samo nekoliko sekundi.

Autopsija složenog DDoS napada 2.0

Ova tehnika djeluje na HTTP/2 konfiguracijama vodećih web poslužitelja poput NGINXa, Apache HTTP Servera, Microsoft IISa, Envoyja i Cloudflare Pingore. HTTP/2 je modernizirana verzija protokola koji regulira komunikaciju između preglednika i web poslužitelja. Dizajniran je da bude brži od svog prethodnika (HTTP/1.1) tako što komprimira podatke i omogućuje slanje više zahtjeva istovremeno na jednoj vezi. Ova dva čimbenika značajno ubrzavaju učitavanje web stranica.

Nažalost, to je mač s dvije oštrice jer se optimizacije koje čine HTTP/2 brzim okreću protiv njega. HPACK kompresija štedi propusnost komprimiranjem zaglavlja. To je u osnovi dobro… Ali, ako napadač pošalje poslužitelju informaciju i potom na nju referira tisuće puta, bajt po bajt, poslužitelj mora za svaki bajt ponovno stvoriti cjelokupnu informaciju u memoriji. To ga tjera na ogroman rad gotovo bez ikakva stvarnog učinka.

Nakon što se memorija zasićuje, druga faza napada sprječava njezino oslobađanje putem alata za kontrolu toka. Trik je u tome da se taj alat natjera da radi suprotno od svoje namjene. Napadač uvjerava poslužitelj da mora pričekati prije slanja odgovora, što ga prisiljava da zauvijek zadrži memoriju dodijeljenu zahtjevu, bez mogućnosti da je ikada oslobodi.

Manipulirajući ova dva sustava, obično osobno računalo s vezom od 100 Mbps može iscrpiti desetke gigabajta radne memorije u nekoliko sekundi. Na primjeru Apache ili Envoy poslužitelja, ova jedna jedina mašina može zagušiti 32 GB memorije poslužitelja za dvadesetak sekundi.

Istraživači Califa objašnjavaju da ovaj prilično domišljati pristup zaobilazi postojeće obrane sustava. U svojim testovima istraživači su srušili Envoy poslužitelj za desetak sekundi. Apache je iscrpio svojih 32 GB radne memorije za samo 18 sekundi. Za Nginx i IIS (Windows Server 2025) bilo je potrebno 45 sekundi za isti rezultat. Ukratko, u svim slučajevima, za manje od minute poslužitelj sigurno pada.

Iako HTTP/2 Bomb izaziva zabrinutost, to nije neizbježna sudbina. Nisu svi poslužitelji pogođeni, a za neke platforme već su objavljene zakrpe. Osim toga, određene vrlo prilagođene konfiguracije mogu pružiti neizravnu zaštitu od ovog napada. To se posebno odnosi na poslužitelje koji rade iza CDN-ova ili obrnutih proxyja. Ovi sustavi djeluju kao posrednici ispred poslužitelja, filtriraju promet i sprječavaju napadača da izravno dosegne ranjivu metu.

Dok se čeka primjena zakrpa, stručnjaci preporučuju deaktiviranje HTTP/2, kada je to moguće, te postavljanje proxyja ili vatrozida koji nameću stroga ograničenja na broj zaglavlja. Kao i uvijek, i dok ne budu izravno pogođeni ovakvim napadom, mnogi će poslužitelji dugo vremena ostati potencijalne mete.