HTTP/2 Bomb: OpenAI Codex scopre un exploit DoS

HTTP/2 Bomb è un exploit, scritto con l’aiuto di OpenAI Codex, che permette di effettuare attacchi DoS (Denial of Service) contro noti web server utilizzando un singolo computer. Questo attacco sfrutta una vulnerabilità esistente nella configurazione predefinita del protocollo HTTP/2 nei principali web server e ha il potenziale di saturare la RAM in pochi secondi.

Una scoperta potenzialmente pericolosa

L'algoritmo AI OpenAI Codex, utilizzato da oltre 5 milioni di utenti settimanali, ha permesso a un ricercatore di identificare questa vulnerabilità in combinazione con due tecniche di attacco ormai note da anni. L’exploit risultante, chiamato HTTP/2 Bomb, permette a un singolo client di saturare la capacità di un server vulnerabile.

I ricercatori di Calif hanno illustrato i dettagli tecnici del problema. Secondo le loro dimostrazioni, un computer con una semplice connessione a 100 Mbps — una velocità tipica delle vecchie linee ADSL — può rendere inaccessibile un server HTTP/2 in pochi secondi. In alcune prove pubblicate su internet, è stato osservato come un server HTTPD Apache e l’Envoy siano stati completamente sopraffatti in circa 10 e 18 secondi, mentre nginx e Microsoft IIS l’hanno fatto in circa 45 secondi.

Come funziona l’exploit HTTP/2 Bomb

L’HTTP/2 Bomb sfrutta il meccanismo di compressione degli header HTTP/2 conosciuto come HPACK. Questo protocollo consente di memorizzare un header nella tabella HPACK e farne quindi riferimento migliaia di volte, creando un effetto amplificativo per la saturazione della memoria del server.

Nel secondo aspetto dell’attacco, l’exploit impedisce che la memoria venga liberata al termine dell'elaborazione della richiesta. In questo modo, si riescono a bypassare le limitazioni predefinite, come la dimensione massima degli header, garantendo che il server non riesca a riprendersi autonomamente. I dettagli completi sull’implementazione dell’attacco saranno illustrati durante l’evento Real World AI Security, programmato per fine giugno, mentre il codice è già pubblicamente disponibile su GitHub.

Web server vulnerabili

La vulnerabilità colpisce i seguenti web server: nginx, Apache httpd, Microsoft IIS, Envoy e Cloudflare Pingora. OpenAI ha sottolineato il ruolo chiave giocato da Codex nel rendere questa scoperta possibile.

Ai fini della sicurezza, i server di nginx, Apache e Envoy sono ora aggiornati per mitigare i rischi, ma Microsoft IIS e Cloudflare Pingora sono ancora vulnerabili. Per ora, al fine di prevenire l’esposizione, gli esperti raccomandano di disabilitare HTTP/2 o di posizionare i server dietro un CDN, un reverse proxy o un firewall.