Californische cybersecurityonderzoekers waarschuwen voor een nieuwe denial-of-service (DoS) exploit, genaamd HTTP/2 Bomb, die grote webservers binnen enkele seconden onbeschikbaar kan maken. De aanval combineert een compressiebom gericht op het HTTP/2 headercompressieschema (HPACK) met een Slowloris-achtige techniek die voorkomt dat de server geheugen vrijmaakt. Deze combinatie werd ontdekt met behulp van OpenAI’s Codex.

Volgens het in Californië gevestigde beveiligingsbedrijf Calif kan deze aanval meer dan 880.000 websites treffen die HTTP/2 ondersteunen en draaien op standaardconfiguraties van NGINX, Apache HTTPD, Microsoft IIS, Envoy of Cloudflare Pingora. De aanval kan worden uitgevoerd vanaf een thuiscomputer met een 100 Mbps internetverbinding en maakt de servers binnen enkele seconden onbereikbaar.

De gebruikte technieken zijn niet nieuw; drie van de onderliggende kwetsbaarheden zijn al een decennium bekend, terwijl een andere vorig jaar is opgelost. Het eerste deel van de exploit maakt gebruik van de HPACK Bomb (CVE-2016-6581), een compressielaag-aanval waarbij kleine berichten op de server uitgroeien tot gigabytes aan data. Deze aanval werd gedemonstreerd tegen Apache HTTPD met een 4000x amplificatiefactor en is opgelost in Apache HTTP Server versie 2.4.64 (CVE-2025-53020).

Het tweede deel van de exploit richt zich op CVE-2016-8740 en CVE-2016-1546, twee Apache HTTPD-kwetsbaarheden die leiden tot DoS via Continuation frames in HTTP/2-verzoeken en aangepaste flow-control vensters. Deze Slowloris-achtige problemen veroorzaken geheugenuitputting door een flow-control venster van nul bytes te adverteren, waardoor de server geen antwoord stuurt, en door de timeout te resetten zodat het geheugen niet wordt vrijgegeven.

Calif legt uit dat het nieuwe aspect van deze exploit zit in de bron van de amplificatie. In plaats van grote waarden in de tabel te stoppen, is de header bijna leeg en komt de amplificatie voort uit de per-item administratie die de server aanmaakt. Hierdoor wordt de limiet op de gedecodeerde headergrootte niet geactiveerd. Ook werd een omzeiling gevonden voor servers die het aantal headervelden beperken. Calif publiceerde proof-of-concept code om de aanval aan te tonen.

NGINX heeft de kwetsbaarheid in april opgelost, Apache volgde eind mei met fixes (CVE-2026-49975). Microsoft IIS, Envoy en Cloudflare Pingora zijn op het moment van schrijven nog niet gepatcht. Interessant is dat beide delen van de exploit al jaren publiek bekend zijn, maar dat Codex de codebases analyseerde, de combinatie herkende en de gecombineerde aanval bouwde. Volgens Calif had geen mens deze combinatie eerder toegepast op deze servers.