Security

Serangan DoS Baru ‘HTTP/2 Bomb’ Mampu Lumpuhkan Web Server dalam Hitungan Detik

18 minutes ago
3 minutes read

Sebuah teknik serangan siber baru bertipe Denial-of-Service (DoS) yang dinamakan “HTTP/2 Bomb” ditemukan dapat diluncurkan hanya dari satu perangkat komputer biasa untuk melumpuhkan web server berskala besar dalam hitungan detik. Teknik eksploitasi ini bekerja pada konfigurasi bawaan (default) protokol HTTP/2 milik jajaran web server raksasa dunia, termasuk NGINX, Apache HTTP Server, Microsoft IIS, Envoy, dan Cloudflare Pingora.

Metode serangan ini pertama kali ditemukan oleh agen perangkat lunak berbasis kecerdasan buatan, OpenAI Codex, di bawah panduan langsung dari tim peneliti di firma keamanan siber ofensif, Calif. HTTP/2 Bomb mengombinasikan dua metode DoS yang sebelumnya sudah dikenal luas, yaitu HPACK compression amplification (amplifikasi kompresi HPACK) dan penahanan sumber daya ala Slowloris melalui manipulasi kontrol aliran data (flow-control stalling) HTTP/2.

Mekanisme Pengurasan RAM Massal Lewat Satu Byte Data

Saat kedua teknik tersebut digabungkan, seorang penyerang yang hanya bermodalkan koneksi internet rumahan berkecepatan 100 Mbps dapat menguras paksa memori RAM server hingga puluhan gigabyte dalam hitungan detik. Sistem server akan dipaksa untuk terus mengalokasikan ruang memori untuk memproses data tersebut, namun di sisi lain sistem dicegah untuk melepaskan kembali (freeing) memori yang sudah terpakai.

Pada bagian pertama serangan, HTTP/2 Bomb menyalahgunakan mekanisme HPACK yang digunakan oleh protokol HTTP/2 untuk mengompresi judul pesan (header compression). Penyerang menyisipkan sebuah komponen header ke dalam tabel dinamis HPACK, lalu mereferensikannya secara berulang-ulang melalui representasi indeks ringkas yang hanya berukuran satu byte.

Dampaknya, setiap satu byte data yang dikirimkan oleh penyerang dapat memicu alokasi memori hingga ribuan byte di sisi server. Dalam pengujian teknis, web server Envoy dan Apache mencatatkan rasio amplifikasi terburuk, masing-masing berada di angka 5.700:1 dan 4.000:1.

Bagian kedua dari serangan ini bertujuan untuk menahan memori yang telah teralokasi agar tidak bisa dihapus setelah permintaan (request) selesai. Penyerang mencapainya dengan cara mengirimkan informasi jendela kontrol aliran data berukuran nol byte (zero-byte flow-control window). Alih-alih mengirimkan respons penuh, server justru terpaksa mengirimkan bingkai data kecil bernama WINDOW_UPDATE secara berkala untuk menghindari batas waktu putus koneksi (timeout). Dalam skenario ini, proses request tidak pernah benar-benar selesai, dan konsumsi RAM server akan terus membengkak tanpa bisa dibersihkan.

Hasil Pengujian pada Empat Web Server Populer

Para peneliti dari Calif menjelaskan bahwa pendekatan ini sukses menembus sistem pertahanan web server tradisional saat ini, termasuk aturan batas ukuran total dekode header. Sebab, nilai header asli yang digunakan dalam serangan ini berukuran sangat kecil, sementara efek pembengkakan memori murni lahir dari proses pembukuan internal per-header dan alokasi memori internal server.

Ketika taktik HTTP/2 Bomb ini diuji coba terhadap empat arsitektur web server utama di industri, tim peneliti mencatatkan hasil kelumpuhan fatal berikut:

  • Envoy 1.37.2: Menghabiskan total 32 GB RAM dalam waktu sekitar 10 detik.
  • Apache httpd 2.4.67: Menghabiskan total 32 GB RAM dalam waktu sekitar 18 detik.
  • NGINX 1.29.7: Menghabiskan total 32 GB RAM dalam waktu sekitar 45 detik.
  • Microsoft IIS (Windows Server 2025): Menghabiskan total 64 GB RAM dalam waktu sekitar 45 detik.

Meskipun rincian teknis lengkap dari serangan DoS HTTP/2 Bomb ini baru akan dipresentasikan secara resmi oleh peneliti Quang Luong pada konferensi Real World AI Security akhir bulan ini, kode demonstrasi eksploitasi atau Proof-of-Concept (PoC) untuk metode serangan ini dilaporkan sudah dipublikasikan di internet.

Dampak Serangan dan Ketersediaan Patch Penambal

Tim peneliti Calif menekankan bahwa meskipun komponen dari masing-masing teknik ini bukan hal baru, penggabungan keduanya menghasilkan dampak kerusakan yang sangat signifikan. Spesifikasi algoritma HPACK selama ini memang sudah mengantisipasi risiko amplifikasi memori, namun belum ada regulasi yang mengatur apa yang terjadi jika penyerang menahan memori teralokasi tersebut dalam jangka waktu tak terbatas memanfaatkan celah flow control HTTP/2.

Kabar baiknya, tidak semua web server rentan terhadap ancaman ini karena beberapa platform telah merilis pembaruan keamanan. Selain itu, konfigurasi server kustom tertentu juga dapat memberikan perlindungan tidak langsung. Sebagai contoh, sistem yang berjalan di balik jaringan Content Delivery Network (CDN) atau reverse proxy tidak mengekspos titik akhir (endpoint) HTTP/2 secara langsung, sehingga lebih sulit dijadikan target serangan.

Perbaikan resmi saat ini telah tersedia untuk:

  • NGINX versi 1.29.8: Menambahkan perintah instruksi kustom baru yaitu max_headers.
  • Apache httpd mod_http2 2.0.41: Masalah ini telah ditambal dan diberikan identifikasi resmi CVE-2026-49975.

Hingga artikel ini diterbitkan, belum ada patch keamanan yang tersedia untuk Microsoft IIS, Envoy, atau Cloudflare Pingora. Bagi pengelola jaringan yang menggunakan ketiga platform tersebut, sangat direkomendasikan untuk menonaktifkan fitur HTTP/2 jika memungkinkan, atau menempatkan perangkat proxy dan firewall di baris depan yang memberlakukan pembatasan ketat terhadap jumlah hitungan header masuk.

Sumber: Calif Offensive Security Research

Tags
18 minutes ago
3 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button