HTTP/2 Bomb: ataque DoS contra nginx, Apache, IIS y Envoy

HTTP/2 Bomb es un nuevo ataque de denegación de servicio descubierto por Calif con la ayuda de Codex, que afecta a nginx, Apache, IIS, Envoy y Pingora. Además, el ataque permite que un solo cliente consuma 32 GB de memoria en un servidor en apenas 10 a 45 segundos según el motor. Por lo tanto, prácticamente cualquier servidor web actual queda expuesto si no ha aplicado los parches recientes. En este sentido, conviene entender cómo se compone el ataque y qué versiones cierran la brecha.

HTTP/2 Bomb: cómo funciona el ataque

Por su parte, el HTTP/2 Bomb combina dos técnicas conocidas desde hace casi una década: la HPACK Indexed Reference Bomb y el HTTP/2 Window Stall. De hecho, la novedad no son los componentes individuales sino la composición — fue Codex, el agente de IA de OpenAI, quien identificó que al encadenarlas se producía una amplificación masiva de memoria. Asimismo, el ataque mantiene la conexión abierta indefinidamente porque el cliente nunca abre la ventana de control de flujo.

Además, las cifras de amplificación varían según el servidor: Envoy 1.37.2 multiplica memoria a razón 5.700 a 1, Apache httpd 2.4.67 lo hace a 4.000 a 1, mientras que nginx y IIS están entre 68 y 70 a 1. En consecuencia, un atacante puede tumbar un servidor con apenas unos kilobytes de petición.

Servidores y versiones afectadas por HTTP/2 Bomb

En primer lugar, los servidores confirmados con la vulnerabilidad son nginx hasta 1.29.7, Apache httpd 2.4.67, Microsoft IIS sobre Windows Server 2025, Envoy 1.37.2 y Cloudflare Pingora. Por su parte, Apache ya tiene asignado el CVE-2026-49975 y se sumó al CVE-2025-53020 anterior, que cubría una variante. Por lo tanto, las organizaciones que operan cualquiera de esos motores deben revisar versiones y migrar a las builds actualizadas.

Asimismo, hay parches parciales disponibles: nginx 1.29.8 incorpora la directiva max_headers para limitar el ataque y Apache httpd lo resuelve en mod_http2 v2.0.41. Aun así, IIS, Envoy y Pingora seguían sin parche al momento de la publicación, por lo que conviene aplicar mitigaciones de red en esos casos.

Cómo mitigar HTTP/2 Bomb hoy mismo

Por otro lado, mientras llegan los parches faltantes hay tres mitigaciones inmediatas: limitar el tamaño máximo de cabeceras, restringir conexiones HTTP/2 simultáneas por IP y monitorear el consumo de memoria por proceso. De hecho, los WAF y reverse proxies bien configurados pueden absorber buena parte del impacto si se ajustan los límites. Para profundizar en seguridad de servicios cloud, encontrarás más artículos sobre seguridad en cloud en nuestro blog.

Finalmente, el HTTP/2 Bomb deja dos lecciones claras: la composición de fallos viejos puede generar amenazas nuevas, y un agente de IA con acceso a documentación pública es capaz de encontrarlas más rápido que los equipos humanos. En definitiva, vale la pena revisar hoy mismo qué versión de HTTP/2 corre cada servicio expuesto.

Recuerda que estaremos publicando constantemente en nuestro blog más contenido sobre tecnología.

Puedes encontrarnos en Facebook y LinkedIn para más contenido relacionado con seguridad en internet y muchos temas más.

Fuentes: Calif Blog, nginx Changelog, Apache Security.