Destaques Profissionais Vulnerabilidades & CVEs

CVE-2026-49975: a “bomba HTTP/2” que derruba servidores em segundos

10 horas ago
Ciberseguranca.PT

Uma nova vulnerabilidade de negação de serviço catalogada como CVE-2026-49975 e apelidada de HTTP/2 Bomb demonstrou que falhas antigas no protocolo HTTP/2 podem ser encadeadas para derrubar servidores web de grande escala em poucos segundos. A divulgação pública, coordenada pela empresa de investigação Calif a 3 de junho de 2026, afeta configurações padrão dos servidores web mais utilizados no mundo e expõe potencialmente mais de 880 000 sites de acesso público.

Como funciona o ataque

A vulnerabilidade não assenta numa falha única e inédita, mas sim no encadeamento inteligente de duas técnicas de negação de serviço já conhecidas. A descoberta foi realizada com o auxílio do Codex, o modelo de programação da OpenAI, o que a torna também um caso de estudo sobre a velocidade com que ferramentas de inteligência artificial podem identificar vetores de ataque a partir de diffs públicos de código.

A primeira etapa explora o mecanismo de compressão HPACK, nativo do HTTP/2. O atacante começa por injetar uma entrada de cabeçalho de grande dimensão na tabela de compressão do servidor. Nas ligações seguintes, envia milhares de referências de um único byte a essa entrada, forçando o servidor a reconstruir e alocar memória para cada cabeçalho referenciado — um efeito de amplificação que esgota a RAM disponível muito rapidamente.

A segunda etapa recorre à técnica Slowloris aplicada ao controlo de fluxo do HTTP/2: o atacante mantém as ligações abertas, impedindo que o servidor liberte a memória já alocada. A combinação dos dois mecanismos cria uma bomba de memória que, segundo os investigadores, é capaz de esgotar 32 gigabytes de RAM num servidor Envoy em cerca de dez segundos, utilizando apenas uma ligação doméstica de 100 Mbps.

Quais os sistemas afetados

De acordo com os investigadores da Calif e fontes como a SecurityWeek e a GBHackers, os sistemas vulneráveis incluem configurações padrão de:

  • NGINX — resolvido na versão 1.29.8, que introduz a diretiva max_headers com limite padrão de 1000 cabeçalhos.
  • Apache HTTPD — corrigido no módulo mod_http2 v2.0.41, tornando os fragmentos de Cookie contabilizáveis no limite LimitRequestFields. O CVE-2026-49975 foi formalmente atribuído a esta variante; a divulgação à equipa Apache ocorreu a 27 de maio, com correção aplicada no mesmo dia por Stefan Eissing.
  • Microsoft IIS — sem correção disponível à data da divulgação pública.
  • Envoy — patches lançados a 3 de junho; os investigadores estavam ainda a validar a eficácia da correção.
  • Cloudflare Pingora — sem patch à data da divulgação; a Cloudflare clarificou posteriormente que a sua arquitetura e sistemas de mitigação de DDoS detetam e bloqueiam automaticamente ataques HTTP/2 Bomb.

Um varrimento Shodan realizado pelos investigadores confirmou mais de 880 000 sites públicos a correr configurações HTTP/2 vulneráveis.

O que fazer agora

As recomendações práticas variam conforme o servidor em uso:

  • NGINX: atualizar para a versão 1.29.8 ou superior. Se a atualização não for imediatamente possível, desativar o HTTP/2 com a diretiva http2 off;.
  • Apache HTTPD: instalar o mod_http2 v2.0.41. Em alternativa, remover o HTTP/2 dos protocolos ativos com Protocols http/1.1.
  • Microsoft IIS: monitorizar ativamente o consumo de memória e considerar a desativação do HTTP/2 em servidores expostos à internet até que um patch seja disponibilizado.
  • Envoy e Pingora: aplicar os patches mais recentes dos respetivos fornecedores e acompanhar os boletins de segurança.

Para qualquer plataforma ainda sem correção disponível, as medidas de mitigação intercalares incluem: impor limites rígidos ao número de cabeçalhos por ligação, aplicar limites de memória aos processos de trabalho do servidor web, e monitorizar picos anormais de consumo de memória como sinal de alerta precoce.

Porque é que isto importa

O impacto potencial deste tipo de ataque vai muito além dos servidores web individuais. Em Portugal, organizações públicas, PME e prestadores de serviços de saúde com presença digital — frequentemente dependentes de infraestruturas web baseadas em NGINX ou Apache em configurações padrão — estão no âmbito de exposição direta. O Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025, transposição da diretiva NIS2) reforça precisamente a obrigação de gestão ativa de vulnerabilidades e de resposta atempada a incidentes por parte de operadores de serviços essenciais e prestadores de serviços digitais. Uma vulnerabilidade com capacidade para tornar serviços críticos indisponíveis em dez segundos, a partir de uma ligação doméstica, é um cenário que as equipas de segurança devem ter na sua lista de prioridades imediatas.

A forma como esta vulnerabilidade foi descoberta — com recurso a IA generativa para analisar diffs públicos e derivar variantes de exploração — é também um sinal dos tempos: o intervalo entre a publicação de uma correção e a disponibilidade de um exploit funcional é agora potencialmente medido em horas, não em semanas.

Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pela Calif, SecurityWeek, GBHackers, CyberInsider e na lista oss-sec.

Related Posts

Destaques Profissionais Threat Intelligence

O primeiro worm de IA adaptativo: investiga cada alvo e não pode ser parado por um único patch

3 horas ago
Ciberseguranca.PT
Cidadãos Destaques Threat Intelligence

TVs inteligentes e apps gratuitas: como o seu equipamento pode estar a alimentar redes de recolha de dados para IA

8 horas ago
Ciberseguranca.PT
AI Act Cidadãos Destaques PME

ChatGPT Lockdown Mode: a nova funcionalidade da OpenAI que protege os seus dados de ataques de IA

9 horas ago
Ciberseguranca.PT
Cidadãos Destaques Incidentes PME Profissionais

Dashlane: ataque de força bruta expõe cofres cifrados de menos de 20 utilizadores

2 dias ago
Ciberseguranca.PT