HTTP/2 Bomb: Eksploitasi yang Bisa Runtuhkan 880 Ribu Website dalam Hitungan Detik
HTTP/2 Bomb: Eksploitasi yang Bisa Runtuhkan 880 Ribu Website dalam Hitungan Detik
CLB.my.id - Peneliti keamanan siber dari Calif, firma keamanan yang berbasis di California, menemukan eksploitasi baru yang diberi nama HTTP/2 Bomb. Serangan ini mampu meruntuhkan server web besar dalam hitungan detik dengan menggabungkan dua teknik denial-of-service (DoS) yang sebenarnya sudah diketahui publik selama satu dekade.
Yang menarik, eksploitasi ini ditemukan dengan bantuan Codex, model coding AI dari OpenAI. Codex menganalisis basis kode yang ada dan mengenali bahwa dua kelas serangan lama bisa dikomposisikan menjadi ancaman baru yang jauh lebih destruktif.
Menurut Calif, serangan ini berpotensi memengaruhi lebih dari 880.000 website yang mendukung HTTP/2 dengan konfigurasi default dari server web dan proxy utama, termasuk NGINX, Apache HTTPD, Microsoft IIS, Envoy, dan Cloudflare Pingora.
Cara Kerja: Dua Serangan Lama Jadi Satu Ancaman Baru
HTTP/2 Bomb menggabungkan dua teknik yang sudah dikenal selama bertahun-tahun.
Teknik pertama adalah HPACK Bomb, yang dilacak dengan nomor CVE-2016-6581. Serangan ini menyalahgunakan mekanisme kompresi header HTTP/2 yang disebut HPACK. Pesan kecil yang dikirim penyerang akan berkembang secara dramatis begitu diproses oleh server tujuan. Serangan serupa pernah didemonstrasikan terhadap Apache HTTPD dengan tingkat amplifikasi 4.000 kali lipat.
Teknik kedua menargetkan CVE-2016-8740 dan CVE-2016-1546, yang dikenal sebagai Slow Read. Keduanya adalah kerentanan DoS HTTP/2 lama yang melibatkan Continuation frame dan manipulasi flow-control window.
Dalam eksploitasi HTTP/2 Bomb, penyerang mengiklankan zero-byte flow-control window sehingga server tidak mengirim respons. Penyerang kemudian terus mengatur ulang batas waktu pengiriman agar server tidak bisa membebaskan memori yang sudah dialokasikan.
Inovasi Sebenarnya: Bukan Tekniknya, Tapi Komposisinya
Calif menegaskan bahwa kebaruan bukan terletak pada teknik individual, melainkan pada cara keduanya digabungkan.
“Variasi kami melakukan kebalikannya: header hampir kosong, dan amplifikasi datang dari alokasi bookkeeping sisi server di sekitarnya. Batas decoded-size tidak pernah aktif karena hampir tidak ada yang perlu di-decode,” jelas Calif dalam laporannya.
Alih-alih memperbesar nilai header secara besar-besaran, serangan ini menyebabkan alokasi bookkeeping berlebihan di sisi server untuk header yang hampir kosong. Perlindungan yang ada untuk membatasi ukuran header yang di-decode tidak akan terpicu karena tidak ada yang perlu di-decode.
Ditemukan oleh AI, Bukan Manusia
Aspek paling menarik dari penemuan ini adalah metode penemuannya. Calif menggunakan Codex dari OpenAI untuk menganalisis basis kode server web yang ada.
“Kedua bagian ini sudah dipublikasikan selama satu dekade. Yang dilakukan Codex adalah membaca basis kode, mengenali bahwa keduanya bisa dikomposisikan, dan membangun serangan gabungan. Kombinasi itu jelas begitu Anda melihatnya, tetapi sejauh yang kami tahu, belum ada manusia yang menggabungkannya terhadap server-server ini,” tulis Calif.
Pernyataan ini menjadi bukti konkret bagaimana AI bisa digunakan untuk menemukan kerentanan keamanan yang tersembunyi di celah antara teknik-teknik yang sudah diketahui.
Siapa yang Terdampak?
Serangan ini bisa diluncurkan dari komputer rumahan dengan koneksi 100 Mbps dan dapat membuat server web tidak tersedia dalam hitungan detik. Potensi dampaknya mencakup lebih dari 880.000 website yang menjalankan konfigurasi default dari lima server dan proxy terbesar di dunia.
NGINX sudah memperbaiki bug ini pada April 2026. Apache HTTPD merilis perbaikan pada akhir Mei dan menerbitkan CVE-2026-49975. Namun, tiga server lainnya belum ditambal pada saat laporan ini diterbitkan.
Microsoft IIS, Envoy, dan Cloudflare Pingora belum merilis patch. Artinya, jutaan website yang mengandalkan ketiga platform tersebut masih rentan terhadap serangan ini.
Apa yang Harus Dilakukan?
Calif juga merilis kode proof-of-concept untuk mendemonstrasikan serangan tersebut. Bagi organisasi yang menjalankan infrastruktur berbasis HTTP/2, langkah yang disarankan adalah segera memperiksa apakah server mereka menggunakan konfigurasi default yang rentan.
Untuk NGINX dan Apache, patch sudah tersedia dan harus segera diterapkan. Untuk Microsoft IIS, Envoy, dan Cloudflare Pingora, organisasi disarankan untuk memantau perkembangan patch dan menerapkan mitigasi sementara jika memungkinkan.
Penemuan ini menjadi pengingat bahwa kerentanan keamanan tidak selalu harus ditemukan dari nol. Terkadang, bahaya terbesar justru datang dari kombinasi celah-celah lama yang selama ini dianggap sudah ditangani.
Sumber: SecurityWeek, Calif Security Research
