PCDVD數位科技討論區 - 發現 HTTP/2 Bomb 重大漏洞全球主流網頁伺服器恐遭遠端癱瘓

發現 HTTP/2 Bomb 重大漏洞全球主流網頁伺服器恐遭遠端癱瘓
https://www.hkepc.com/25939/%E7%99%...%99%B1%E7%98%93

引用:

【大件事 ⚠️】網絡安全研究員 Calif 近日透露，利用 OpenAI 研發的 AI 工具 Codex，成功發現了一個潛藏在網絡通訊協定中存在已久的嚴重漏洞，並將其命名為「HTTP/2 炸彈」（HTTP/2 Bomb）。該漏洞能針對全球各大主流網頁伺服器發動遠端「阻斷服務攻擊」（DoS），包括 NGINX、Apache HTTPD、Microsoft IIS、Envoy 以及 Cloudflare Pingora 等廣泛應用的伺服器系統，在預設配置下均受此漏洞影響，全球主流網頁伺服器恐因此面臨遠端癱瘓的威脅。

根據 Calif 的安全報告，這個被稱為「HTTP/2 炸彈」的漏洞，其危險之處在於它是 AI 透過自主邏輯，將兩種已知的網絡攻擊技術——「壓縮炸彈」（Compression Bomb）與「慢速攻擊」（Slowloris-style hold）進行鏈式組合後，演變而成的全新攻擊路徑。

在技術細節方面，該攻擊鎖定了 HTTP/2 協定專屬的標頭壓縮機制「HPACK」。HPACK 原本的設計是為了壓縮請求與回應的元數據，藉此減少網絡傳輸量。然而，Codex 發現，攻擊者僅需在網絡上傳送短短 1 個位元組（Byte）的惡意數據，便能在伺服器端引發連鎖反應，迫使其重複配置數千次完整的標頭記憶體。

與此同時，攻擊者可再利用零位元組的流量控制視窗（Zero-byte flow-control window）將連線維持在「停滯」狀態。這種慢速滯留手法，會導致受害伺服器永遠無法釋放這些被惡意佔用的記憶體空間。

由於該漏洞存在於上述各大網頁伺服器的預設 HTTP/2 配置中，一旦遭到黑客惡意利用，攻擊者只需耗費極低的網絡頻寬，就能讓企業或服務供應商的伺服器記憶體瞬間耗盡，從而導致系統崩潰、服務中斷。

這項發現不僅敲響了全球網絡基礎設施的安全警鐘，也證實了大型語言模型（LLM）與自動化 AI 工具在挖掘未知零日漏洞（Zero-day vulnerabilities）上的強大潛力。目前相關網絡安全專家已呼籲各大網絡管理員與企業，應密切關注各大網頁伺服器廠商隨後釋出的安全更新，並重新審視現有的 HTTP/2 配置，以防範潛在的遠端癱瘓風險。

現在用 AI找漏洞真的滿有效率，還一找就是大條的 :laugh:

這個被利用會大規模癱瘓

目前大概要等人工修正錯誤