Un nuevo ataque de denegación de servicio, bautizado como HTTP/2 Bomb, permite dejar inservibles servidores web en cuestión de segundos al disparar el consumo de RAM con peticiones HTTP/2. El problema, registrado como CVE-2026-49975 en el ecosistema de Apache httpd, ya cuenta con mitigaciones claras en nginx 1.29.8 y mod_http2 2.0.41.
Un ataque de denegación de servicio remoto, conocido como HTTP/2 Bomb, está poniendo contra las cuerdas a varias implementaciones de HTTP/2 capaces de caer en menos de un minuto por agotamiento de memoria. El fallo se ha asociado a CVE-2026-49975 en el entorno de Apache HTTP Server, pero la técnica no se queda ahí: pruebas públicas muestran caídas rápidas también en nginx, Envoy y hasta Microsoft IIS en Windows Server 2025.
La idea no consiste en enviar cabeceras enormes, que es lo que muchos sistemas ya vigilan. El truco combina dos abusos de HTTP/2 que, juntos, resultan explosivos. Primero, una ‘bomba’ basada en HPACK, el mecanismo de compresión de cabeceras, fuerza al servidor a realizar asignaciones internas desproporcionadas mediante referencias indexadas. Después, el atacante bloquea el control de flujo llevando la ventana a cero, de forma que el servidor no termina de enviar la respuesta ni libera recursos. La petición queda ‘viva’ y la memoria, retenida.
Las cifras impresionan porque rebajan la barrera de entrada. Un único cliente con una conexión de unos 100 Mbps puede disparar el consumo hasta decenas de gigabytes en segundos. En las demostraciones publicadas, un entorno con Envoy 1.37.2 agota 32 GB en torno a 10 segundos; Apache httpd 2.4.67 tarda unos 18; nginx 1.29.7 ronda los 45. En IIS sobre Windows Server 2025, la prueba llega a vaciar 64 GB en aproximadamente 45 segundos.
El ataque, además, sortea defensas que solo miran el tamaño total de cabeceras ya decodificadas. La amplificación nace de la contabilidad por campo y de asignaciones internas del servidor, no de valores especialmente grandes en texto plano. Por eso, imponer límites únicamente por bytes puede no frenar la caída.
Las correcciones ya están sobre la mesa. nginx 1.29.8 introduce la directiva max_headers, con un límite por defecto de 1.000 cabeceras, para cortar el abuso por número de campos. En Apache, mod_http2 2.0.41 ajusta el recuento para que las cabeceras Cookie, incluidas las ‘migas’ cuando se reparten en varios campos, computen contra LimitRequestFields, una diferencia clave en escenarios reales.
Para quienes operan servicios expuestos y no pueden parchear de inmediato, la recomendación práctica pasa por reducir superficie: desactivar HTTP/2 temporalmente, por ejemplo con http2 off en nginx o forzando Protocols http/1.1 en Apache. Otra opción razonable consiste en colocar un proxy inverso o un terminador HTTP/2 delante, con límites estrictos al número de cabeceras por solicitud, contando también fragmentos de Cookie.
En paralelo, conviene separar límites, uno para el tamaño total de cabeceras decodificadas y otro para el número de campos, sin fiarlo todo a una sola métrica. También ayuda acotar la vida máxima de streams bloqueados para evitar retenciones indefinidas, y fijar topes de memoria por proceso o worker con cgroups, ulimit o límites del contenedor, para que un único worker caído no arrastre toda la máquina por swapping.
El riesgo crece porque ya circulan pruebas de concepto y laboratorios de demostración, lo que suele acelerar la adopción en campañas. Envoy ha publicado parches que parecen mitigar la técnica, aunque la validación completa de cobertura figura como pendiente. En un protocolo tan extendido como HTTP/2, la rapidez al desplegar actualizaciones y límites sensatos marca la diferencia entre una caída puntual y una interrupción sistemática del servicio.
Más información
- BleepingComputer – New ‘HTTP/2 Bomb’ DoS attack crashes web servers in under a minute : https://www.bleepingcomputer.com/news/security/new-http-2-bomb-dos-attack-crashes-web-servers-in-under-a-minute/
- Calif – Codex Discovered a Hidden HTTP/2 Bomb : https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb
- seclists.org (oss-sec) – HTTP/2 Bomb affects Apache httpd, nginx, envoy, & pingora : https://seclists.org/oss-sec/2026/q2/790
Deja una respuesta