Wprowadzenie do problemu / definicja
HTTP/2 Bomb to nowo ujawniona technika odmowy usługi, oznaczona jako CVE-2026-49975, która wykorzystuje legalne mechanizmy protokołu HTTP/2 do gwałtownego wyczerpywania pamięci serwera. Nie jest to klasyczny atak oparty na ogromnym wolumenie ruchu, lecz metoda prowadząca do nieproporcjonalnie wysokiego zużycia zasobów po stronie usługi. W efekcie nawet relatywnie niewielkie możliwości techniczne napastnika mogą wystarczyć do zakłócenia działania podatnych systemów.
W skrócie
Nowa technika uderza w implementacje popularnych serwerów WWW i proxy obsługujących HTTP/2. Mechanizm łączy nadużycie kompresji nagłówków HPACK z manipulacją kontrolą przepływu, co umożliwia utrzymywanie rosnącego zużycia pamięci przy niewielkim ruchu wejściowym. Szczególnie zagrożone są organizacje posiadające rozbudowaną infrastrukturę internetową, w tym operatorzy telekomunikacyjni, firmy technologiczne oraz placówki ochrony zdrowia.
- atak nie wymaga dużej przepustowości po stronie napastnika,
- celem jest pamięć operacyjna i stabilność procesów serwerowych,
- ryzyko dotyczy szeroko stosowanej infrastruktury webowej,
- dostępne są poprawki i działania ograniczające skutki ataku.
Kontekst / historia
HTTP/2 powstał jako nowocześniejsza i wydajniejsza alternatywa dla HTTP/1.1. Wprowadził multipleksowanie strumieni, kompresję nagłówków HPACK oraz mechanizmy kontroli przepływu, które miały ograniczać narzut transmisji i poprawiać wydajność komunikacji w środowiskach o dużej skali.
W czerwcu 2026 roku badacze opisali jednak scenariusz, w którym dwa zgodne ze specyfikacją elementy protokołu mogą zostać połączone w skuteczny wektor DoS. Problem ma znaczenie praktyczne, ponieważ dotyczy komponentów infrastrukturalnych powszechnie wykorzystywanych na styku internetu i usług biznesowych. Mowa o warstwie, która często działa od lat bez głębszego przeglądu architektury bezpieczeństwa, mimo że odpowiada za krytyczne funkcje publikacji aplikacji i API.
Dodatkowy ciężar ryzyka wynika z dużej popularności HTTP/2 w organizacjach obsługujących rozproszony ruch i wysokie obciążenia. W takich środowiskach nawet krótkotrwała niedostępność może prowadzić do zakłóceń operacyjnych, problemów z ciągłością działania i naruszeń poziomów usług.
Analiza techniczna
Istota HTTP/2 Bomb polega na uzyskaniu silnej amplifikacji zużycia pamięci po stronie serwera. Atakujący wysyła niewielkie żądania, które wymuszają budowę znacznie większych struktur związanych z przetwarzaniem nagłówków. Kluczową rolę odgrywa tutaj HPACK, czyli mechanizm kompresji nagłówków w HTTP/2, wykorzystujący tablice dynamiczne i indeksowanie zamiast ciągłego przesyłania pełnych danych tekstowych.
W scenariuszu nadużycia niewielki ruch wejściowy może powodować kosztowne operacje po stronie odbiorcy. Następnie kontrola przepływu HTTP/2 jest wykorzystywana do ograniczenia możliwości szybkiego odesłania odpowiedzi i zwolnienia zaalokowanych zasobów. W praktyce prowadzi to do sytuacji, w której pamięć pozostaje zajęta przez dłuższy czas, a kolejne żądania zwiększają presję na proces i RAM.
To odróżnia HTTP/2 Bomb od wielu tradycyjnych ataków DDoS nastawionych głównie na przepustowość łącza. Tutaj nie trzeba generować masowego ruchu, by osiągnąć efekt niedostępności. Celem staje się destabilizacja procesu odpowiedzialnego za obsługę HTTP/2 lub doprowadzenie do wyczerpania pamięci, co może skutkować błędami, restartami usług albo całkowitym przerwaniem obsługi klientów.
Ważne jest również to, że problem nie wynika z błędu logiki biznesowej aplikacji ani obejścia uwierzytelniania. Podatność znajduje się niżej, w warstwie implementacyjnej i protokolarnej. Oznacza to, że nawet poprawnie napisane aplikacje webowe mogą być zagrożone, jeśli korzystają z niezałatanych komponentów frontowych, reverse proxy lub bram API.
Konsekwencje / ryzyko
Najpoważniejszą konsekwencją HTTP/2 Bomb jest utrata dostępności usług internetowych. W sektorach takich jak telekomunikacja czy IT może to przełożyć się na niedostępność portali klientowskich, interfejsów API, paneli administracyjnych, systemów zaplecza i usług o dużej skali. W ochronie zdrowia wpływ jest szczególnie wrażliwy, jeśli zakłócenia dotkną systemów rejestracji, portali pacjenta lub usług wspierających komunikację medyczną.
Ryzyko zwiększają trzy kluczowe czynniki: popularność podatnych komponentów, niski koszt przeprowadzenia ataku po stronie przeciwnika oraz brak centralnego zarządzania konfiguracją HTTP/2 w wielu organizacjach. W praktyce protokół ten bywa traktowany jako przezroczysta funkcja platformy, a nie jako krytyczna powierzchnia ataku wymagająca aktywnego nadzoru.
- chwilowa lub długotrwała niedostępność usług,
- wzrost wykorzystania pamięci i niestabilność procesów serwerowych,
- przeciążenie warstw proxy i load balancerów,
- problemy z ciągłością działania i naruszenie SLA,
- wyższe koszty operacyjne związane z reagowaniem i analizą incydentu.
Dla zespołów bezpieczeństwa istotne jest również to, że klasyczne zabezpieczenia wolumetryczne lub proste limity zapytań mogą nie wystarczyć. Bez uwzględnienia specyfiki HTTP/2 oraz zachowania pamięci podczas przetwarzania nagłówków i blokowania odpowiedzi część środowisk może pozostać podatna mimo wdrożonych mechanizmów ochronnych.
Rekomendacje
Organizacje powinny w pierwszej kolejności zinwentaryzować wszystkie komponenty obsługujące HTTP/2 zarówno na brzegu infrastruktury, jak i wewnątrz środowiska. Obejmuje to główne serwery WWW, reverse proxy, gatewaye API, elementy service mesh, urządzenia bezpieczeństwa oraz platformy CDN.
- niezwłocznie wdrożyć poprawki dostawców dla podatnych implementacji,
- zweryfikować, gdzie HTTP/2 jest aktywne i czy jest rzeczywiście potrzebne,
- rozważyć czasowe ograniczenie lub wyłączenie HTTP/2 dla usług o najwyższym ryzyku,
- dostroić limity dotyczące nagłówków, liczby strumieni i zachowania połączeń,
- monitorować nietypowy wzrost zużycia pamięci przez procesy obsługujące HTTP/2,
- wdrożyć detekcję anomalii dla długotrwałych połączeń i nietypowych wzorców ramek,
- przetestować odporność usług w kontrolowanym środowisku przedprodukcyjnym,
- skoordynować działania między zespołami SOC, DevOps, SRE i administratorami sieci.
W środowiskach krytycznych warto przygotować plan awaryjny obejmujący szybkie przełączenie ruchu, zmianę profilu terminacji TLS/HTTP, eskalację do dostawców oraz gotowe playbooki reagowania na incydenty DoS warstwy aplikacyjnej. Dobrą praktyką jest również przegląd telemetrii pod kątem połączeń HTTP/2 utrzymujących niski transfer przy jednoczesnym rosnącym zużyciu pamięci.
Podsumowanie
HTTP/2 Bomb pokazuje, że funkcje projektowane z myślą o wydajności mogą stać się skutecznym wektorem ataku, jeśli zostaną połączone w nieoczekiwany sposób. Zagrożenie jest istotne, ponieważ dotyczy szeroko stosowanej infrastruktury webowej i pozwala osiągnąć znaczący efekt odmowy usługi przy niskim koszcie po stronie napastnika.
Dla organizacji z sektorów telekomunikacyjnego, IT i ochrony zdrowia priorytetem powinno być szybkie wdrożenie poprawek, przegląd ekspozycji usług HTTP/2 oraz wzmocnienie monitoringu dostępności i zużycia zasobów. To kolejny sygnał, że bezpieczeństwo warstwy protokołów pozostaje równie ważne jak ochrona samej aplikacji.
Źródła
- Dark Reading — HTTP/2 Bomb Attacks Put Telcos, Healthcare Orgs at Risk — https://www.darkreading.com/vulnerabilities-threats/http-2-bomb-attacks-telcos-healthcare
- Imperva Blog — Imperva Protects Against CVE-2026-49975 HTTP/2 Bomb — https://www.imperva.com/blog/imperva-customers-protected-against-cve-2026-49975-http-2-bomb-dos/
- RFC 9113 — HTTP/2 — https://www.ietf.org/rfc/rfc9113.pdf
- RFC 7541 — HPACK: Header Compression for HTTP/2 — https://www.ietf.org/ietf-ftp/rfc/rfc7541.txt.pdf
- Radware Cybersecurity Alert — HTTP/2 Bomb June 2026 — https://www.radware.com/getattachment/38a70d60-bd2d-45ba-a44d-b7f12ca5d4d3/Threat-Alert-HTTP2-Bomb-June2026.pdf.aspx