Estamos cientes de  uma técnica de negação de serviço remoto, denominada HTTP/2 Bomb [1] [2], que encadeia duas falhas conhecidas, sendo uma variante de bomba de compressão sobre o HPACK [3] e uma retenção estilo Slowloris via flow control [4], para provocar exaustão de memória e indisponibilidade em servidores web. O ataque é rastreado como CVE-2026-49975 (atribuído pela Apache); algumas fontes também o referenciam como CVE-2026-47774 (CVSS 7.5).

Ambientes de borda, balanceadores e servidores diretamente expostos à Internet devem ser tratados como prioridade máxima. A existência de PoC pública reduz o tempo entre divulgação e exploração em campo, tornando a janela de mitigação especialmente curta.

Trata-se de uma falha técnica de alto impacto operacional, com vetor remoto, não autenticado e baixíssimo custo para o atacante, e risco real de indisponibilidade. Boa parte dos produtos já possui correção; a aplicação deve ser tratada como prioritária em todos os serviços HTTP/2 expostos, com contenção provisória onde não houver patch.

Detalhes Técnicos

Diferente da bomba de compressão tradicional [3], a amplificação não vem de expandir valores comprimidos: o atacante usa um header quase vazio e o referencia repetidamente, forçando o servidor a alocar memória na contabilidade interna (bookkeeping) por entrada, o que faz com que os limites usuais de tamanho de header decodificado não barrem o ataque. Em seguida, anuncia uma janela de flow control de zero byte para impedir a liberação dessa memória. Um único cliente não autenticado, em conexão de 100 Mbps, pode esgotar até ~32 GB de memória em ~20 segundos. Há PoC pública disponível, o que eleva o risco de exploração oportunista.

Impacto

• Exaustão de memória e degradação severa de desempenho.
• Possível indisponibilidade total do serviço, a partir de uma única origem e em poucos segundos.
• Risco elevado para ambientes expostos com HTTP/2 habilitado.

Sistemas potencialmente afetados

Configurações padrão de HTTP/2:

• nginx:  correção disponível (abril/2026).
• Apache httpd:  correção disponível (final de maio/2026).
• Envoy: patches de mitigação publicados.
• Microsoft IIS: sem confirmação clara de correção até a divulgação; tratar como exposto.
• Cloudflare Pingora: sem confirmação clara de correção até a divulgação; tratar como exposto.

Recomendação imediata

• Verificar se o HTTP/2 está habilitado nos serviços expostos.
• Aplicar, com prioridade, as correções já disponibilizadas pelos mantenedores (nginx, Apache httpd e Envoy já têm atualização).
• Para produtos sem correção confirmada (IIS, Pingora) ou enquanto a atualização não for possível, considerar como contenção temporária: desabilitar o HTTP/2, ou colocar à frente um proxy/balanceador resistente (o HAProxy é arquiteturalmente imune e pode rejeitar os clientes maliciosos).
• Monitorar logs e consumo de memória em busca de padrões anômalos: múltiplas conexões de uma mesma origem, headers indexados repetidos, janelas de flow control em zero e sessões mantidas abertas por longos períodos.

Referências comentadas

1. Calif (divulgação original dos pesquisadores – fonte primária): “Codex Discovered a Hidden HTTP/2 Bomb“. Descreve o “Window Stall” (janela de flow control de zero byte mantida com frames WINDOW_UPDATE de 1 byte) e explica que a novidade está na origem da amplificação: o header é quase vazio e o custo vem do bookkeeping por entrada alocado.
2. Cloud Security Alliance (nota de pesquisa: análise independente/vendor-neutral). Atribui a descoberta a Quang Luong (Calif) com o modelo Codex da OpenAI, situa as primitivas (HPACK Bomb de 2016 e exaustão estilo slow-read) e data a divulgação coordenada em 2-3 de junho de 2026.
3. HPACK Bomb – Hyper Project security advisory
4. Mitigating Slowloris – https://www.sei.cmu.edu/blog/mitigating-slowloris/