HTTP/2 Bomb: Satu Koneksi Rumahan Bisa Lumpuhkan Server, 880.000 Server Terancam

CLB.my.id - Sebuah kerentanan baru yang diberi nama HTTP/2 Bomb ditemukan mampu melumpuhkan hampir semua server web berbasis HTTP/2 hanya dengan koneksi internet rumahan biasa. Kerentanan ini memengaruhi nginx, Apache HTTPD, Windows IIS, dan Envoy secara bersamaan, dan sudah masuk dalam Patch Tuesday terbesar Microsoft yang pernah ada dengan 206 CVE yang ditambal dalam satu rilis.

CVE-2026-49160 untuk Windows dan CVE-2026-49975 untuk sistem lainnya ditemukan oleh Quang Luong dari perusahaan keamanan ofensif Calif saat bekerja dengan OpenAI Codex. Model AI tersebut membaca basis kode server dan mengenali bahwa dua teknik lama yang sudah diketahui selama bertahun-tahun ternyata bisa digabungkan menjadi serangan yang sangat merusak.

Dua Trik Lama Menjadi Satu Hari yang Sangat Buruk

HTTP/2 Bomb bukanlah kelas bug baru. Serangan ini merupakan kombinasi dari dua perilaku protokol HTTP/2 yang sudah diteliti secara terpisah selama bertahun-tahun. Codex membaca kode server yang relevan, mengenali kombinasinya, dan menghasilkan exploit yang berfungsi sebelum ada manusia yang mempublikasikan kombinasi ini.

Serangan bekerja dalam dua tahap. Pertama, HTTP/2 menggunakan HPACK untuk mengompresi header permintaan. Exploit mengirim permintaan khusus yang memicu ribuan alokasi memori per entri di server. Konten yang didekompresi hampir tidak ada, sehingga batas ukuran hasil dekompresi tidak terpicu, tetapi server tetap mengalokasikan overhead pengelolaan untuk setiap entri. Ini adalah bagian bom kompresi.

Bagian kedua adalah penahanan kontrol aliran. Penyerang mengatur jendela penerimaan ke nol byte, memberi sinyal agar server berhenti mengirim. Server sudah mengalokasikan memori dan kini tidak bisa membebaskannya. RAM terus bertumbuh hingga proses crash atau mesin lumpuh total.

Dalam pengujian laboratorium Calif, server IIS yang rentan menghabiskan 64 GB RAM dalam waktu sekitar 45 detik. Analisis Red Hat menunjukkan 32 GB habis dalam 10 detik pada deployment Envoy yang rentan. Koneksi 100 Mbps dari jaringan rumahan sudah cukup untuk menjalankan serangan ini.

Siapa yang Terdampak

Server nginx dan Apache HTTPD yang menjalankan versi sebelum patch terbaru terdampak melalui CVE-2026-49975. Pembaruan ke nginx 1.29.8 ke atas sudah menambahkan direktif max_headers untuk membatasi jumlah header. Untuk Apache HTTPD, mod_http2 versi 2.0.41 ke atas sudah menambal kerentanan ini.

Windows IIS dan HTTP.sys terdampak melalui CVE-2026-49160 yang ditambal dalam Patch Tuesday Juni 2026 dengan kode KB5102602. Microsoft juga menambahkan kunci registri MaxHeadersCount yang membatasi jumlah header HTTP/2 dan HTTP/3 per permintaan.

Envoy terdampak melalui CVE-2026-47774 dan sudah ditambal di versi 1.35.11, 1.36.7, 1.37.3, atau 1.38.1. Cloudflare Pingora dan HAProxy aman secara arsitektural karena mitigasi DDoS otomatis dan perlindungan struktural yang sudah ada.

Pemindaian Shodan menemukan lebih dari 880.000 server yang menghadap publik dan terpapar. Bagi organisasi yang tidak bisa segera memperbarui, solusi sementara adalah menonaktifkan HTTP/2 sepenuhnya sampai patch diterapkan.

AI Menemukan Sebelum Manusia

Penemuan oleh Codex dan Calif ini adalah sinyal awal ke arah mana riset keamanan akan bergerak. Komponen serangan sudah didokumentasikan secara individual dalam diskusi RFC HTTP/2 dan penelitian sebelumnya. Codex membaca basis kode yang relevan, mengenali komposisinya, dan menghasilkan exploit yang berfungsi sebelum ada manusia yang menerbitkan kombinasi ini.

Ini bukan sihir, melainkan pengenalan pola di seluruh basis kode dengan skala dan kecepatan yang sulit disaingi manusia. Implikasinya tidak nyaman: jika Codex menemukan satu celah ini, teknik yang sama akan menemukan lebih banyak lagi. Protokol kompleks seperti HTTP/2 dan HTTP/3 memiliki permukaan interaksi yang cukup besar sehingga serangan kombinatorial kemungkinan belum banyak dieksplorasi.

Tim pertahanan perlu memperlakukan riset berbantuan AI sebagai baseline baru tentang apa yang bisa dilakukan penyerang, bukan sebagai ancaman masa depan.

Patch Tuesday Terbesar dalam Sejarah Microsoft

Selain HTTP/2 Bomb, Patch Tuesday Juni 2026 juga menambal dua zero-day publik lainnya. CVE-2026-45586 adalah celah eskalasi hak akses di Windows CTFMON yang bisa memberikan akses SYSTEM melalui resolusi tautan yang tidak tepat. CVE-2026-50507 adalah bypass BitLocker melalui file USB atau EFI di Windows Recovery Environment.

Dengan total 206 CVE, ini adalah Patch Tuesday terbesar yang pernah dikirim Microsoft. Skala yang besar bukan alasan untuk menunda pembaruan. Bagi deployment Linux, buletin keamanan Red Hat RHSB-2026-007 mencakup panduan lengkap untuk menambal nginx dan httpd.