Des chercheurs révèlent une technique de déni de service HTTP/2 affectant les principaux serveurs Web après qu’une analyse assistée par l’IA a révélé une faille liée aux configurations HTTP/2.
Les chercheurs en sécurité mettent en garde contre un problème avec la configuration HTTP/2 par défaut utilisée par les principaux serveurs Web, qui aurait survécu à plus d’une décennie d’examen humain avant d’apparaître dans l’analyse assistée par le Codex.
Une faille dans la gestion du protocole HTTP/2 a rendu possible une attaque par déni de service (DoS) sur des serveurs Web, notamment nginx, le serveur HTTP Apache, Microsoft IIS, Envoy et Pingora de Cloudflare, selon le cabinet de conseil en sécurité Calif.
HTTP/2 a été introduit en 2015 pour augmenter la vitesse de HTTP en permettant plusieurs connexions simultanées, et est progressivement remplacé par HTTP/3, qui repose sur le nouveau protocole de transport crypté QUIC. Le problème découvert par Calif réside dans la manière dont les serveurs concernés gèrent la compression des en-têtes HTTP/2 et le traitement des requêtes, permettant à un attaquant de déclencher une consommation de mémoire disproportionnée.
« L’attaque a enchaîné deux techniques connues des humains depuis une décennie : une bombe à compression et une prise de style Slowloris », a déclaré Thai Duong, PDG de Calif, dans un article de blog, appelant la technique HTTP/2 Bomb. Une recherche sur Shodan a révélé plus de 880 000 sites Web prenant en charge HTTP/2 et exécutant l’un de ces serveurs, bien que beaucoup de ces sites Web utilisent un réseau de diffusion de contenu (CDN), ce qui peut ajouter une certaine complexité à l’attaque, a-t-il déclaré.
Armer une fonctionnalité de compression pour DoS
Le problème, identifié comme CVE-2026-49975, implique HPACK, le mécanisme de compression d’en-tête intégré à HTTP/2. Calif a découvert que les attaquants peuvent abuser de la table d’en-tête dynamique du protocole de manière à forcer les serveurs à allouer de manière répétée de la mémoire bien au-delà de ce qui serait normalement attendu de la taille des requêtes entrantes.
Une quantité relativement faible de trafic contrôlé par un attaquant peut déclencher des allocations de mémoire excessives sur le serveur cible, a expliqué Duong.
« La bombe cible HPACK, le système de compression d’en-tête de HTTP/2 : un octet sur le câble devient une allocation d’en-tête complète sur le serveur, répétée des milliers de fois par requête », a-t-il déclaré. « La conservation est une fenêtre de contrôle de flux de zéro octet qui empêche le serveur d’en libérer. »
Ce n’est pas la première fois que HTTP/2 est signalé pour autoriser les attaques DoS. En 2019, plusieurs vulnérabilités de déni de service HTTP/2 révélées par Netflix ont affecté de nombreuses implémentations de serveurs et entraîné des correctifs d’urgence dans tout l’écosystème.
En octobre 2023, il a été révélé que le protocole était sujet à des attaques DDoS massives en raison de sa capacité de multiplexage de flux.
Calif a signalé la faille à tous les projets concernés. nginx et Apache HTTP Server ont agi rapidement pour bloquer le chemin d’attaque, tandis qu’Envoy a mis à jour le correctif le 3 juin. Microsoft IIS et Pingora de Cloudflare n’avaient pas encore publié de correctifs au moment de la publication.
Les administrateurs devront obtenir les versions fixes de nginx (v1.29.8+) ou Apache (mod_http2 v2.0.41), via les canaux de mise à jour normaux utilisés pour ces produits. Envoy a publié des correctifs pour les versions 1.35.11, 1.36.7, 1.37.3 et 1.38.1.
Pour les organisations qui ne disposent pas d’un correctif, Calif a recommandé de désactiver HTTP/2 si possible, ou de « présenter au serveur quelque chose qui impose un plafond strict sur le nombre d’en-têtes par requête ».
