Yeni HTTP/2 Bomb saldırısı tek bir bilgisayarla web sunucularını bir dakikadan kısa sürede devre dışı bırakabiliyor

Siber güvenlik şirketi Calif araştırmacıları, OpenAI’ın Codex yazılım ajanının desteğiyle gerçekleştirilen çalışmalar sonucunda “HTTP/2 Bomb” adı verilen yeni bir hizmet engelleme (DoS) saldırı yöntemini ortaya çıkardı.

Araştırmacılar, saldırının HTTP/2 kullanan birçok popüler web sunucusunun varsayılan yapılandırmalarını hedef alabildiğini ve tek bir cihaz üzerinden yürütülebileceğini açıkladı.

Rapora göre yöntem; NGINX, Apache HTTP Server, Microsoft IIS, Envoy ve Cloudflare Pingora gibi yaygın olarak kullanılan platformları etkileyebiliyor.

İki Bilinen Tekniğin Birleşimi

Calif tarafından yayımlanan teknik analizde, saldırının iki farklı HTTP/2 tekniğinin bir araya getirilmesiyle oluşturulduğu belirtildi.

Bunlardan ilki, HTTP/2 protokolünde başlık sıkıştırması için kullanılan HPACK bellek büyütme mekanizması, ikincisi ise kaynakların serbest bırakılmasını engelleyen Slowloris benzeri akış kontrolü durdurma yöntemi olarak açıklandı.

Araştırmacılar, bu iki yöntemin birlikte kullanılmasıyla sunucuların çok kısa sürede büyük miktarda bellek ayırmak zorunda bırakıldığını ve ayrılan belleğin serbest bırakılamadığını kaydetti.

“32 GB Bellek Yaklaşık 20 Saniyede Tüketilebiliyor”

Calif araştırmacıları, “100 Mbps bağlantıya sahip sıradan bir ev bilgisayarı saniyeler içerisinde savunmasız bir sunucuyu erişilemez hâle getirebilir.” açıklamasında bulundu.

Araştırmacılar ayrıca, “Apache httpd ve Envoy üzerinde tek bir istemci yaklaşık 20 saniye içerisinde 32 GB sunucu belleğini tüketip kullanımda tutabiliyor.” ifadelerini kullandı.

Bellek Kullanımı Katlanarak Artıyor

Saldırının ilk aşamasında saldırganlar, HTTP/2’nin HPACK sıkıştırma özelliğini kullanarak çok küçük veri paketleriyle sunucuda büyük miktarda bellek ayrılmasını sağlıyor.

Araştırmaya göre yalnızca bir baytlık veri gönderimi, bazı platformlarda binlerce baytlık sunucu belleği tahsisine neden olabiliyor.

Testlerde en yüksek büyütme oranlarının Envoy için 5.700:1, Apache httpd için ise 4.000:1 seviyesine ulaştığı bildirildi.

İkinci aşamada ise saldırganlar, HTTP/2 akış kontrol mekanizmasını kullanarak sunucunun ayırdığı belleği geri kazanmasını engelliyor. Böylece tamamlanmayan istekler nedeniyle bellek kullanımı sürekli artıyor.

Dört Büyük Platformda Test Edildi

Araştırmacılar tarafından gerçekleştirilen testlerde aşağıdaki sonuçlar elde edildi:

Envoy 1.37.2, yaklaşık 10 saniyede 32 GB RAM tüketti.

Apache httpd 2.4.67, yaklaşık 18 saniyede 32 GB RAM tüketti.

NGINX 1.29.7, yaklaşık 45 saniyede 32 GB RAM tüketti.

Microsoft IIS (Windows Server 2025), yaklaşık 45 saniyede 64 GB RAM tüketti.

Bu sonuçların, saldırının düşük maliyetle yüksek etki oluşturabildiğini gösterdiği belirtildi.

Yamalar Yayımlanmaya Başladı

Araştırmacılar, saldırının temelinde kullanılan yöntemlerin yeni olmadığını ancak birlikte kullanılmalarının ciddi bir etki yarattığını vurguladı.

NGINX geliştiricileri sorunu 1.29.8 sürümünde yayımlanan max_headers direktifiyle giderdi.

Apache tarafında ise düzeltme mod_http2 2.0.41 sürümünde yayımlandı ve güvenlik açığına CVE-2026-49975 numarası verildi.

IIS, Envoy ve Pingora İçin Henüz Yama Yok

Haberin yayımlandığı tarihte Microsoft IIS, Envoy ve Pingora platformları için resmî bir güvenlik güncellemesinin bulunmadığı belirtildi.

Araştırmacılar, bu sistemleri kullanan kuruluşlara mümkün olduğu durumlarda HTTP/2 özelliğini devre dışı bırakmalarını, ters vekil sunucular veya güvenlik duvarları aracılığıyla başlık sayısı sınırları uygulamalarını tavsiye etti.

Calif tarafından hazırlanan ayrıntılı teknik sunumun bu ay düzenlenecek Real World AI Security konferansında kamuoyuyla paylaşılması bekleniyor. Öte yandan saldırı yöntemine ait kavram kanıtı kodlarının şimdiden yayımlandığı bildirildi.

Kaynak: Beykozun Sesi