Teknik DoS Baru Bernama HTTP/2 Bomb
Sepertinya teknologi kecerdasan buatan (AI) telah melahirkan teknik serangan denial-of-service (DoS) yang baru, yang bisa menjatuhkan server dalam waktu singkat, hanya dengan menggunakan satu komputer dengan koneksi 100 Mbps.
Pekan ini, para peneliti keamanan siber dari Calif mengumumkan penemuan teknik DoS terbaru yang mereka sebut HTTP/2 Bomb. Mereka menggunakan perangkat lunak Codex dari OpenAI untuk mengungkap teknik ini, yang merupakan kombinasi dari dua metode DoS HTTP/2 yang sudah dikenal: amplifikasi kompresi HPACK dan pemeliharaan sumber daya ala Slowloris melalui penahanan kontrol aliran HTTP/2.
Intinya, serangan ini menipu sebuah server web untuk mengalokasikan memori dalam jumlah besar, sementara data yang dikirimkan sangat sedikit. Penyerang memanfaatkan fitur dalam HTTP/2 yang memungkinkan permintaan kecil mengembang menjadi sejumlah besar data di dalam server, sehingga memaksa server untuk mengalokasikan memori.
Bukti Konsep Dirilis
Biasanya, memori tersebut akan dilepaskan setelah permintaan diproses. Namun, penyerang menggunakan fitur HTTP/2 lainnya untuk menjaga koneksi tetap terbuka tanpa batas. Seiring semakin banyaknya permintaan jahat yang masuk, penggunaan memori meningkat cepat, hingga server melambat dan pada akhirnya crash.
Calif menyebutkan bahwa teknik ini bekerja pada konfigurasi HTTP/2 dari server web utama, termasuk NGINX, Apache HTTP Server, Microsoft IIS, Envoy, dan Cloudflare Pingora.
Menurut CyberInsider, produk yang terdampak “menyokong sebagian besar web”, menunjukkan bahwa risikonya cukup besar. Beberapa sudah merilis patch, sementara yang lain masih rentan. Penting untuk memantau konfigurasi server Anda dan terus mengikuti pembaruan yang masuk.
“Sebuah komputer rumahan dengan koneksi 100 Mbps bisa menjadikan server yang rentan tidak dapat diakses dalam hitungan detik. Terhadap Apache httpd dan Envoy, seorang klien saja bisa menghabiskan dan menahan memori server sebanyak 32GB dalam waktu sekitar 20 detik,” ungkap para peneliti.
Definisi defensif saat ini, kata mereka, tidak berdaya melawan HTTP/2 Bomb. Misalnya, batasan pada ukuran total header decoder tidak efektif karena nilai header yang digunakan dalam serangan ini sangat kecil.
Detail teknis lebih lanjut akan dirilis akhir bulan ini, namun Calif sudah membagikan bukti konsep (PoC) dari serangan ini.
Penting bagi pengelola server untuk segera menangani masalah ini, karena dengan potensi untuk menyerang secara cepat dan efektif, serangan ini bisa menimbulkan kerugian yang signifikan jika tak ditangani dengan baik.
