Codex i OpenAI zbulon sulmën HTTP/2 Bomb që mund të shkatërrojë 30 GB RAM në sekonda
Kërkuesit e sigurisë kibernetike nga grupi Calif kanë shpallur këtë javë se kanë zbuluar një metodë të re denial‑of‑service (DoS) e quajtur “HTTP/2 Bomb”. Zbulimi u realizua përmes agjentit softuerik Codex të OpenAI, i cili ka kombinuar dy teknika të njohura të sulmeve në HTTP/2: amplifikimin e kompresionit HPACK dhe mbajtjen e burimeve në stilin Slowloris përmes bllokimit të kontrollit të rrjedhës së HTTP/2.
Sulmi funksionon duke mashtruar serverin që të rezervojë sasi të mëdha memorie, ndërkohë që dërgon pak të dhëna. Përmes një karakteristike të HTTP/2 që lejon kërkesa të vogla të zgjerohen brenda serverit, sulmuesi bën që serveri të alokojë RAM. Më pas, duke përdorur një tjetër veçori të protokollit, lidhja mbetet e hapur pafund, çka bën që kërkesat e dëmshme të grumbullohen dhe përdorimi i memories të rritet në mënyrë eksponenciale deri sa serveri ngadalësohet dhe përfundimisht rrëzohet.
Metoda ka provuar efektivitetin në konfigurimet HTTP/2 të disa prej serverëve më të përdorur në internet, përfshirë NGINX, Apache HTTP Server, Microsoft IIS, Envoy dhe Cloudflare Pingora. Sipas raportimeve, një kompjuter shtëpiak me një lidhje 100 Mbps mund të bllokojë një server të cenueshëm brenda disa sekondash; në rastin e Apache httpd dhe Envoy, një klient i vetëm mund të konsumojë rreth 32 GB RAM në rreth 20 sekonda. Disa prodhues kanë lëshuar tashmë përditësime për të adresuar dobëtinë, ndërsa të tjerë mbeten të ekspozuar.
Mbrojtjet aktuale s’janë të mjaftueshme për të ndaluar sulmin HTTP/2 Bomb; kufizimet në madhësinë totale të header‑eve nuk funksionojnë, pasi vlerat e përdorura në sulm janë shumë të vogla. Detajet teknike do të publikohen në fund të këtij muaji, ndërkohë që Calif ka ndarë një provë koncepti (PoC) për të demonstruar funksionimin e sulmit.
