Image credit: magnific
Mengenal Bahaya Sistem DoS HTTP/2 Bomb – Lanskap keamanan siber global kembali dikejutkan oleh penemuan metode serangan kelumpuhan layanan atau Denial-of-Service (DoS) generasi terbaru yang sangat destruktif.
Serangan yang diberi nama kode HTTP/2 Bomb ini dilaporkan mampu melumpuhkan server web berskala industri hanya dalam hitungan detik, cukup dengan mengandalkan satu unit komputer rumahan.
Lebih mengkhawatirkan lagi, teknik serangan ini bekerja secara efektif pada konfigurasi standar (default) dari berbagai perangkat lunak server web terkemuka di dunia.
Beberapa platform raksasa yang dikonfirmasi terdampak meliputi:
- NGINX.
- Apache HTTP Server.
- Microsoft IIS, Envoy.
- Cloudflare Pingora.
Penemuan celah kritis ini mencatat sejarah baru karena diidentifikasi pertama kali oleh agen perangkat lunak berbasis kecerdasan buatan, OpenAI Codex.
Secara teknis, HTTP/2 Bomb bekerja dengan mengawinkan dua metode serangan DoS yang sebelumnya sudah dikenal terpisah:
- Teknik amplifikasi kompresi HPACK.
- Penahanan sumber daya bergaya Slowloris melalui manipulasi penundaan kontrol aliran (flow-control stalling) pada protokol HTTP/2.
Efek Amukan Berkecepatan 100 Mbps
Ketika kedua teknik lama tersebut dikombinasikan secara presisi, daya hancur yang dihasilkan melesat secara eksponensial.
Seorang penyerang yang hanya bermodalkan koneksi internet standar rumah sebesar 100 Mbps dapat membuat:
- Server target untuk mengalokasikan dan menguras habis memori RAM hingga puluhan gigabyte dalam hitungan detik.
- Sekaligus mengunci memori tersebut agar tidak bisa dilepaskan kembali ke sistem operasi.
Berikut adalah konversi bagian Rantai Amplifikasi Memori HTTP/2 Bomb ke dalam bentuk penomoran paragraf:
Fase 1 (Penyisipan Header).
Penyerang memulai dengan menyisipkan baris header berukuran kecil ke dalam tabel dinamis HPACK pada server target.
Fase 2 (Referensi Berulang & Efek Penggandaan).
Peretas mereferensikan header kecil tersebut secara berulang-ulang menggunakan kode indeks ringkas yang hanya berukuran 1-byte.
Aktivitas ini memicu efek penggandaan alokasi memori internal di sisi server secara ekstrem, dengan rasio pembengkakan RAM mencapai 4.000:1 pada Apache dan hingga 5.700:1 pada Envoy.
Fase 3 (Pengiriman Sinyal Kontrol Aliran).
Penyerang kemudian memanipulasi fitur flow control dengan mengirimkan sinyal jendela penerimaan data palsu berukuran 0-byte ke server.
Fase 4 (Penguncian Memori & Kelumpuhan Server).
Akibat sinyal tersebut, server terjebak dalam lingkaran proses untuk terus mengirimkan bingkai WINDOW_UPDATE berukuran mini secara periodik demi menghindari timeout.
Skenario ini membuat memori RAM server terkunci selamanya karena permintaan tidak pernah selesai diproses, yang akhirnya server mengalami kolaps atau crash.
Sebuah komputer rumah dengan koneksi 100 Mbps mampu membuat server yang rentan menjadi lumpuh total tidak dapat diakses dalam hitungan detik.
Saat diujikan terhadap Apache httpd dan Envoy, satu klien tunggal bahkan dapat menguras dan menahan RAM server sebesar 32 GB hanya dalam waktu sekitar 20 detik.
|
Baca juga: Ledakan Serangan Berbasis Asisten AI |
Anatomi Eksploitasi
Rantai serangan HTTP/2 Bomb mengeksploitasi mekanisme HPACK, sebuah algoritma yang digunakan oleh protokol HTTP/2 untuk mengompresi tajuk (header) guna menghemat pita lebar (bandwidth).
Peretas menyisipkan sebuah baris header ke dalam tabel dinamis HPACK, kemudian mereferensikannya secara berulang-ulang menggunakan representasi indeks ringkas yang hanya berukuran satu byte saja.
Akibatnya, setiap satu byte data biner yang dikirimkan oleh peretas dari hulu akan memaksa server melakukan pembukuan internal dan mengalokasikan memori ribuan kali lipat lebih besar di hilir.
Berdasarkan hasil pengukuran para peneliti, Envoy menunjukkan rasio pembengkakan paling buruk, yaitu mencapai 5.700:1, disusul oleh Apache httpd dengan rasio 4.000:1.
Bagian kedua dari serangan inilah yang bertindak sebagai pengunci matinya sistem. Setelah server sukses dipaksa memekarkan memori untuk memproses permintaan, peretas harus mencegah agar memori tersebut tidak dilepaskan kembali (freed) setelah permintaan selesai.
Tujuan ini dicapai dengan cara memanipulasi fitur kontrol aliran data (flow control) pada HTTP/2. Peretas mengirimkan sinyal yang mengumumkan bahwa jendela penerimaan data di sisi klien adalah nol byte (zero-byte flow-control window).
Alih-alih dapat menyelesaikan pengiriman respons dan menutup sesi, server web yang kebingungan terpaksa menahan data di dalam RAM.
Dan hanya mengirimkan bingkai (frame) WINDOW_UPDATE berukuran mini secara periodik demi menghindari ambang batas waktu mati (timeout).
Dalam skenario ini, permintaan dari peretas tidak pernah benar-benar selesai, dan alokasi memori di sisi server terus membubung tinggi tanpa pernah bisa dibersihkan.
Teknik cerdas ini berhasil mengelabui sistem pertahanan tradisional, termasuk batas maksimal ukuran dekode header.
Karena secara kasat mata nilai header yang dikirimkan peretas berukuran sangat kecil, namun kerusakan masif dipicu oleh pembukuan alokasi memori internal server itu sendiri.
Hasil Pengujian Empat Raksasa Server Web
Dalam rangkaian uji coba terkontrol yang dilakukan oleh para peneliti terhadap empat platform server web terkemuka di sepanjang pertengahan tahun 2026 ini, tercatat hasil kelumpuhan sistem yang sangat signifikan:
- Envoy (Versi 1.37.2): Kolaps akibat kehabisan RAM sebesar 32 GB hanya dalam waktu sekitar 10 detik.
- Apache httpd (Versi 2.4.67): Tumbang dan menguras habis kapasitas RAM 32 GB dalam waktu kurang lebih 18 detik.
- NGINX (Versi 1.29.7): Bertahan sedikit lebih lama sebelum akhirnya menyerah kehabisan memori 32 GB dalam kurun waktu 45 detik.
- Microsoft IIS (Windows Server 2025): Menunjukkan konsumsi tertinggi dengan menghabiskan memori RAM hingga 64 GB hanya dalam waktu 45 detik.
Detail teknis secara menyeluruh mengenai ancaman HTTP/2 Bomb dijadwalkan akan dibongkar secara terbuka pada konferensi Real World AI Security akhir bulan ini.
Meski demikian, kode bukti konsep (Proof of Concept/PoC) untuk mengeksploitasi celah ini dilaporkan telah bocor dan dipublikasikan secara bebas di beberapa forum bawah tanah.
|
Baca juga: IT Palsu Teams Gunakan Taktik Email Bombing |
Evaluasi Historis Kerentanan Protokol HTTP/2
Sebagai bahan referensi pembanding untuk memperkaya analisis makro, para peneliti tata kelola siber mengingatkan bahwa ini bukan kali pertama arsitektur HTTP/2 diguncang oleh masalah kontrol aliran.
Pada akhir tahun 2023, dunia siber sempat dihebohkan oleh serangan HTTP/2 Rapid Reset (CVE-2023-44487) yang memanfaatkan pembatalan aliran (stream cancellation) massal untuk memicu lonjakan beban kerja CPU server hingga ratusan juta permintaan per detik.
Perbedaan mendasar pada kasus HTTP/2 Bomb di tahun 2026 ini adalah pergeseran fokus target serangan. dari yang dulunya memeras kinerja prosesor (CPU-bound) menjadi serangan yang menghabiskan memori (Memory-bound) secara persisten.
Karakteristik spesifikasi HPACK yang kurang mengantisipasi skenario penahanan memori tanpa batas waktu melalui mekanisme flow control memperlihatkan adanya celah filosofis mendasar.
Yakni pada adopsi protokol internet modern, yang kini kian mudah diidentifikasi berkat bantuan agen kecerdasan buatan khusus seperti OpenAI Codex.
Tambalan Darurat dan Mitigasi Sementara
Mengingat daya rusaknya yang mampu melumpuhkan situs web bisnis dalam hitungan detik, langkah mitigasi harus segera diterapkan oleh para administrator jaringan:
1. Pembaruan Sistem NGINX.
Masalah ini telah resmi ditambal pada NGINX versi 1.29.8 dengan menyisipkan direktori perintah baru bernama max_headers untuk membatasi jumlah akumulasi entri header dinamis.
2. Pembaruan Apache httpd.
Pembaruan telah tersedia pada modul mod_http2 versi 2.0.41, di mana kerentanan ini diberikan identitas pelacakan resmi CVE-2026-49975.
3. Langkah Darurat untuk IIS, Envoy, dan Pingora.
Hingga artikel ini diterbitkan, belum ada tambalan resmi (patch) yang tersedia untuk platform:
- Microsoft IIS.
- Envoy.
- Cloudflare Pingora.
Bagi pengelola sistem yang menggunakan tiga platform tersebut, para peneliti sangat menyarankan untuk menonaktifkan protokol HTTP/2 jika memungkinkan.
Serta menempatkan lapisan proksi balik (reverse proxy) atau Tembok Api Aplikasi Web (WAF) di garda terdepan guna menerapkan pembatasan jumlah header (hard header-count limits) secara ketat.
4. Pemanfaatan Jaringan CDN.
Sistem yang beroperasi di balik jaringan distribusi konten (CDN) atau proksi pembalik yang dikonfigurasi dengan baik dilaporkan memiliki ketahanan tidak langsung.
Karena endpoint HTTP/2 yang rentan tidak terekspos secara telanjang ke internet publik.
Kunci Mutlak
Kehadiran badai serangan HTTP/2 Bomb menjadi alarm keras bagi lanskap infrastruktur digital global.
Sebuah kombinasi cerdas dari dua taktik lama terbukti mampu melahirkan metode serangan baru yang melumpuhkan model kepercayaan protokol internet dasar.
Keterlibatan kecerdasan buatan dalam menemukan celah ini juga menandai babak baru di mana peretas kini memiliki alat bantu yang jauh lebih efisien untuk mengendus kelemahan logika sistem.
Bagi organisasi, mengandalkan konfigurasi standar bawaan pabrik kini sudah tidak lagi aman. Oleh karena itu harus menerapkan:
- Kedisiplinan untuk memperbarui versi server web.
- Membatasi parameter header di hulu jaringan.
- Serta menerapkan arsitektur pertahanan berlapis
Ketiganya merupakan kunci mutlak untuk memastikan layanan bisnis digital tetap tegak berdiri menghadapi terjangan badai DoS modern.
Sumber berita:
