Son analizler, HTTP/2 protokolünde yeni bir DoS (Hizmet Engelleme) zafiyetinin keşfedildiğini ortaya koyuyor. Bu güvenlik açığı, NGINX, Apache HTTP Server, Microsoft IIS, Envoy ve Cloudflare gibi yaygın kullanılan sunucu yazılımlarını etkiliyor. Saldırı, HTTP/2’nin başlık sıkıştırma mekanizması HPACK ve Slowloris tarzı bağlantı tutma tekniklerinin birleşimiyle gerçekleştiriliyor.
Saldırının Genel Çerçevesi
Bu zafiyet, HTTP/2’nin varsayılan yapılandırmasında bulunan bir açığı hedef alıyor. Saldırgan, HPACK başlık sıkıştırmasını kullanarak sunucu belleğinde aşırı kaynak tüketimine yol açan özel hazırlanmış istekler gönderiyor. HPACK, HTTP/2 istek ve yanıt başlıklarını Huffman kodlamasıyla sıkıştırarak ortalama %30 boyut küçültme sağlarken, bu saldırıda bir bayt ağda bir başlık alanı olarak sunucu belleğinde binlerce kez çoğaltılıyor. Aynı zamanda, sıfır baytlık bir akış kontrol penceresi (flow-control window) ile sunucu belleğinin serbest bırakılması engelleniyor.
Hangi Sistemler Risk Altında?
NGINX 1.29.8 öncesi sürümler, Apache HTTPD mod_http2 2.0.41 öncesi, Microsoft IIS, Envoy ve Cloudflare Pingora sürümleri bu saldırıdan etkileniyor. Özellikle Apache HTTPD ve Envoy üzerinde tek bir istemci 20 saniye içinde 32GB sunucu belleğini tutabilir hale geliyor. Bu durum, özellikle yüksek bant genişliğine sahip bağlantılardan gelen saldırılarla sunucuların kısa sürede erişilemez hale gelmesine neden olabilir.
Saldırı Zinciri ve Teknik Detaylar
- HPACK Bomb: Başlık sıkıştırma tablosuna küçük ama çoğaltılan girdiler yerleştirilir (CVE-2016-6581).
- Apache HTTPD HTTP/2 bellek tükenmesi: CVE-2025-53020.
- Apache HTTP Server CONTINUATION çerçeveleri ve işçi iş parçacığı açlığı: CVE-2016-8740 ve CVE-2016-1546.
- Slowloris tarzı bağlantı tutma saldırısı, bağlantının uzun süre açık kalmasını sağlar.
Bu tekniklerin birleşimi, klasik DoS saldırılarından farklı olarak, sunucunun belleğinde aşırı yük oluşturuyor ve kaynakların serbest bırakılmasını engelliyor. Böylece saldırganlar, düşük bant genişliği kullanarak yüksek etkili saldırılar gerçekleştirebiliyor.
Siber Güvenlik Ekipleri İçin Öneriler
- NGINX kullanıcıları, 1.29.8 ve üzeri sürümlere yükseltmeli veya HTTP/2 protokolünü kapatmalıdır (http2 off;).
- Apache HTTPD için mod_http2 sürüm 2.0.41 ve sonrası kullanılmalı, yükseltme mümkün değilse HTTP/2 protokolü devre dışı bırakılmalıdır (Protocols http/1.1).
- Microsoft IIS, Envoy ve Cloudflare Pingora için henüz resmi bir yama bulunmamaktadır; bu nedenle ağ segmentasyonu ve trafik izleme önlemleri artırılmalıdır.
- EDR ve SIEM çözümleri ile HTTP/2 trafiği yakından izlenmeli, anormal bağlantı ve bellek kullanımı tespit edilmelidir.
- Olay müdahale (incident response) ekipleri, HTTP/2 tabanlı DoS saldırılarına karşı hazırlıklı olmalı ve loglama seviyeleri artırılmalıdır.
Kurumsal Ortamlarda Olası Senaryolar
Örneğin, bir finans kurumunun web uygulaması HTTP/2 destekliyorsa ve sunucu yazılımı güncel değilse, saldırganlar bu zafiyeti kullanarak kısa sürede hizmet kesintisi yaratabilir. Bu durum, müşteri erişiminde aksamalara ve itibar kaybına yol açabilir. Benzer şekilde, bulut tabanlı SaaS sağlayıcıları da bu tür saldırılara karşı koruma önlemlerini gözden geçirmelidir.
Teknik Özet
- Kullanılan teknikler: HPACK Bomb, Slowloris tarzı bağlantı tutma.
- Hedef sistemler: NGINX, Apache HTTPD, Microsoft IIS, Envoy, Cloudflare Pingora.
- İlgili CVE’ler: CVE-2016-6581, CVE-2016-8740, CVE-2016-1546, CVE-2025-53020.
- Saldırı zinciri: Özel hazırlanmış HTTP/2 istekleri → Bellek aşırı tüketimi → Bağlantıların uzun süre açık tutulması → Hizmet engelleme.
- Temel savunma: Yazılım yamalarının uygulanması, HTTP/2 protokolünün gerektiğinde devre dışı bırakılması, ağ segmentasyonu ve gelişmiş loglama.