An ninh mạng

Lỗ hổng ‘HTTP/2 Bomb’ mới: Nguy cơ tấn công DoS từ xa trên NGINX, Apache, IIS và Cloudflare

Các nhà nghiên cứu vừa phát hiện lỗ hổng HTTP/2 Bomb, cho phép kẻ tấn công thực hiện tấn công từ chối dịch vụ (DoS) từ xa bằng cách khai thác cơ chế nén header và kiểm soát luồng trên các web server...

Nguyen Hung
5 Tháng 6, 2026 2 Min Read
4 0

Một lỗ hổng bảo mật mới có tên gọi HTTP/2 Bomb vừa được phát hiện, gây ảnh hưởng nghiêm trọng đến các web server hàng đầu hiện nay như NGINX, Apache HTTPD, Microsoft IIS, Envoy và Cloudflare Pingora. Lỗ hổng này cho phép kẻ tấn công thực hiện tấn công từ chối dịch vụ (DoS) từ xa chỉ với một lượng tài nguyên tối thiểu.

Cơ chế khai thác của HTTP/2 Bomb

Theo các chuyên gia từ Calif, lỗ hổng này xuất phát từ cấu hình mặc định của giao thức HTTP/2 trên các server. Kẻ tấn công kết hợp hai kỹ thuật: compression bomb (bom nén) và Slowloris-style hold. Thay vì nhắm vào việc giải mã các header lớn như các phương thức cũ, HTTP/2 Bomb tận dụng việc quản lý dữ liệu (bookkeeping) của server đối với các header gần như trống rỗng, khiến server tiêu tốn bộ nhớ đáng kể mà không kích hoạt các giới hạn giải mã thông thường.

Kết hợp với kỹ thuật Slowloris—giữ kết nối mở trong thời gian dài—kẻ tấn công có thể làm cạn kiệt bộ nhớ của server mục tiêu chỉ trong vài giây. Một thử nghiệm cho thấy một client duy nhất có thể chiếm dụng tới 32GB RAM trên Apache HTTPD và Envoy chỉ trong khoảng 20 giây.

Các biện pháp khắc phục

Hiện tại, các nhà phát triển đã bắt đầu đưa ra các bản vá hoặc hướng dẫn cấu hình để giảm thiểu rủi ro:

  • NGINX: Người dùng nên nâng cấp lên phiên bản 1.29.8 trở lên, phiên bản này bổ sung chỉ thị max_headers (mặc định là 1000). Nếu không thể nâng cấp, hãy tạm thời tắt HTTP/2 bằng lệnh http2 off;.
  • Apache HTTPD: Lỗ hổng đã được xử lý trong mod_http2 phiên bản v2.0.41. Nếu chưa thể cập nhật, quản trị viên nên cấu hình Protocols http/1.1 để vô hiệu hóa HTTP/2.
  • Microsoft IIS, Envoy và Cloudflare Pingora: Hiện tại chưa có bản vá chính thức. Quản trị viên cần theo dõi sát sao các thông báo từ nhà cung cấp.

Các chuyên gia nhấn mạnh rằng vấn đề cốt lõi nằm ở cách giao thức HTTP/2 cho phép client duy trì kết nối mở quá lâu, tạo điều kiện cho các cuộc tấn công chiếm dụng tài nguyên kéo dài. Việc chỉ tập trung vào tỷ lệ nén (amplification ratio) là chưa đủ để bảo vệ server trước các hình thức tấn công tinh vi này.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept