Allarme "HTTP/2 Bomb": una normale connessione domestica può mandare in crash i grandi server web

Nel panorama della sicurezza informatica è emersa una minaccia senza precedenti. È stato individuato un nuovo e devastante vettore d'attacco Denial-of-Service (DoS), ribattezzato HTTP/2 Bomb, capace di mettere in ginocchio le infrastrutture web più diffuse al mondo utilizzando una banale linea internet residenziale da 100 Mbps.

La falla è stata scovata dall'agente di intelligenza artificiale Codex di OpenAI, coordinato dagli esperti di sicurezza offensiva della società Calif. La sua pericolosità risiede nella micidiale fusione di due strategie offensive già note: l'effetto moltiplicatore della compressione HPACK e il blocco prolungato delle risorse tipico degli attacchi in stile Slowloris.

Come un singolo byte manda in tilt la memoria RAM

Il cuore dell'attacco risiede nel sistema di compressione delle intestazioni (header) nativo del protocollo HTTP/2. Sfruttando la tabella dinamica HPACK, l'attaccante invia un pacchetto iniziale minimo e poi lo richiama all'infinito attraverso codici ultracompatti lunghi appena un singolo byte.

Quando il web server riceve questo minuscolo segnale, è costretto a espanderlo internamente, allocando uno spazio sproporzionatamente enorme nella propria memoria volatile. I coefficienti di moltiplicazione sono impressionanti:

• Envoy registra un'amplificazione di 5.700:1

• Apache httpd riscontra un fattore di 4.000:1

In pratica, ogni minuscolo frammento di dato inviato dal malintenzionato obbliga il server a occupare svariati chilobyte di memoria RAM.

Il congelamento dei sistemi: da 0 a 64 GB in meno di un minuto

Ciò che rende definitivo il collasso della macchina è la seconda fase del piano. L'attaccante dichiara una capacità di ricezione pari a zero byte. Questa mossa congela la comunicazione: il server, per evitare che la connessione vada in timeout, continua a inviare microscopici segnali di controllo (WINDOW_UPDATE), ma non può liberare la memoria occupata, che resta intrappolata in un limbo infinito.

I test condotti nel corso delle ricerche fotografano uno scenario drammatico per i sistemi non protetti:

• Envoy 1.37.2: 32 GB di RAM completamente esauriti in soli 10 secondi.

• Apache httpd 2.4.67: 32 GB di RAM saturati in 18 secondi.

• nginx 1.29.7: 32 GB di RAM consumati in 45 secondi.

• Microsoft IIS (Windows Server 2025): ben 64 GB di RAM azzerati in 45 secondi.

Le barriere di sicurezza standard si rivelano del tutto inefficaci, poiché l'attacco aggira i controlli sulle dimensioni massime degli header: i dati in ingresso sono nominalmente microscopici, mentre il sovraccarico avviene solo nei processi interni di calcolo del server.

Lo stato delle patch e i rimedi temporanei

Mentre la vulnerabilità scuote il settore, la corsa ai ripari è parziale. nginx ha già neutralizzato il problema a partire dalla versione 1.29.8 grazie alla nuova impostazione 'max_headers'. Apache ha rilasciato un correttivo nel modulo mod_http2 2.0.41, catalogando ufficialmente la falla sotto la sigla CVE-2026-49975.

Al contrario, chi utilizza Microsoft IIS, Envoy o Cloudflare Pingora si trova al momento scoperto, in attesa di aggiornamenti formali. Per tutelare questi ecosistemi, gli esperti suggeriscono come unica contromisura immediata la disattivazione temporanea del protocollo HTTP/2 sulle macchine, oppure l'impiego di firewall e reverse proxy appositamente configurati per porre un tetto massimo invalicabile al conteggio complessivo degli header ricevuti.