Exploit HTTP/2 Bomb derruba NGINX, Apache e IIS em segundos — PoC já está no GitHub

Uma vulnerabilidade recém-divulgada em implementações de servidor HTTP/2 — apelidada de "HTTP/2 Bomb" e rastreada como CVE-2026-49975 — permite que um invasor derrube NGINX, Apache HTTP Server, Microsoft IIS, Envoy e Cloudflare Pingora em segundos, usando um único sistema com uma conexão padrão de internet de 100 Mbps. A empresa de segurança Calif, que descobriu a falha usando OpenAI Codex, publicou detalhes em 2 de junho de 2026. Scripts Python públicos de proof-of-concept apareceram no GitHub no mesmo dia.

A vulnerabilidade é significativa porque HTTP/2 é o protocolo padrão para servidores web modernos — não um recurso opcional que administradores normalmente desativam. Qualquer servidor que aceite conexões HTTPS sobre HTTP/2 com configuração padrão está potencialmente exposto.

Como o ataque funciona

A HTTP/2 Bomb encadeia duas técnicas que existem individualmente na literatura de pesquisa, mas que não haviam sido combinadas anteriormente em um exploit armado. A primeira é uma variação de uma bomba de compressão HPACK — um método de enviar cabeçalhos que descomprimem para tamanhos massivos, consumindo memória desproporcional no servidor receptor. A segunda é uma retenção estilo Slowloris: atrasar deliberadamente a conexão para que a memória descomprimida do servidor não possa ser liberada.

Juntas, essas duas técnicas exploram um comportamento específico em como as implementações de servidor HTTP/2 alocam e liberam memória durante o processamento de cabeçalhos. Ao enviar cabeçalhos comprimidos manipulados e depois manter a conexão aberta sem completar a requisição, um invasor causa um esgotamento rápido e progressivo de memória no servidor. Ao contrário de ataques DDoS volumétricos que exigem largura de banda massiva, esse exploit funciona com baixa vazão — pesquisadores da Calif demonstraram quedas usando apenas 100 Mbps de uma única máquina.

O que está corrigido, o que não está

Até 6 de junho, dois grandes projetos de servidores lançaram correções. NGINX abordou a vulnerabilidade na versão 1.29.8. Apache HTTP Server corrigiu no mod_http2 versão 2.0.41, onde o CVE é formalmente atribuído como CVE-2026-49975. HAProxy é relatado como inerentemente resistente a esse exploit, ou pode ser configurado para bloqueá-lo.

Microsoft IIS, Envoy e Cloudflare Pingora não haviam lançado correções confirmadas até 2 de junho, quando ocorreu a divulgação inicial. Envoy rastreia um problema relacionado como CVE-2026-47774. Administradores que executam esses servidores devem monitorar atentamente os avisos dos fornecedores.

Opções de mitigação

Para organizações que não podem atualizar NGINX ou Apache imediatamente, Calif recomenda três opções provisórias. Primeiro, isolar servidores expostos atrás de um proxy reverso, firewall de aplicação web (WAF) ou balanceador de carga de camada 7 com proteção HTTP/2 ativada — HAProxy, configurado adequadamente, pode absorver o ataque. Segundo, desabilitar HTTP/2 no nível do servidor; isso prejudica o desempenho, mas elimina a superfície de ataque. Terceiro, aplicar limitação de taxa (rate limiting) no processamento de cabeçalhos na camada de entrada.

Desabilitar HTTP/2 em todo o servidor tem um custo real de desempenho — o protocolo existe porque HTTP/1.1 é significativamente mais lento para a maior parte do tráfego web — portanto, deve ser tratado como uma medida temporária, não como uma mitigação permanente.

O ângulo do OpenAI Codex

A divulgação da Calif observa que CVE-2026-49975 foi descoberto usando OpenAI Codex como ferramenta de análise durante uma revisão direcionada de implementações de servidor HTTP/2. A descoberta se soma a um padrão crescente de pesquisa de vulnerabilidades assistida por IA: o mesmo modelo Claude Opus 4.8 encontrou o bug de gasto duplo do Zcash Halo2 divulgado na semana passada, e vários CVEs recentes em projetos open source amplamente implantados creditaram ferramentas de revisão de código de IA em sua descoberta.

Isso não é uma observação passiva — é uma dinâmica de corrida armamentista. As mesmas ferramentas disponíveis para pesquisadores defensivos estão disponíveis para atores ofensivos. Organizações que executam servidores HTTP/2 devem tratar a disponibilidade pública do código PoC como uma escalada significativa do risco de exposição e priorizar a correção de acordo.