全球主流網頁伺服器恐遭遠端癱瘓
【大件事 ⚠️】網絡安全研究員 Calif 近日透露,利用 OpenAI 研發的 AI 工具 Codex,成功發現了一個潛藏在網絡通訊協定中存在已久的嚴重漏洞,並將其命名為「HTTP/2 炸彈」(HTTP/2 Bomb)。該漏洞能針對全球各大主流網頁伺服器發動遠端「阻斷服務攻擊」(DoS),包括 NGINX、Apache HTTPD、Microsoft IIS、Envoy 以及 Cloudflare Pingora 等廣泛應用的伺服器系統,在預設配置下均受此漏洞影響,全球主流網頁伺服器恐因此面臨遠端癱瘓的威脅。
根據 Calif 的安全報告,這個被稱為「HTTP/2 炸彈」的漏洞,其危險之處在於它是 AI 透過自主邏輯,將兩種已知的網絡攻擊技術——「壓縮炸彈」(Compression Bomb)與「慢速攻擊」(Slowloris-style hold)進行鏈式組合後,演變而成的全新攻擊路徑。
在技術細節方面,該攻擊鎖定了 HTTP/2 協定專屬的標頭壓縮機制「HPACK」。HPACK 原本的設計是為了壓縮請求與回應的元數據,藉此減少網絡傳輸量。然而,Codex 發現,攻擊者僅需在網絡上傳送短短 1 個位元組(Byte)的惡意數據,便能在伺服器端引發連鎖反應,迫使其重複配置數千次完整的標頭記憶體。
與此同時,攻擊者可再利用零位元組的流量控制視窗(Zero-byte flow-control window)將連線維持在「停滯」狀態。這種慢速滯留手法,會導致受害伺服器永遠無法釋放這些被惡意佔用的記憶體空間。
由於該漏洞存在於上述各大網頁伺服器的預設 HTTP/2 配置中,一旦遭到黑客惡意利用,攻擊者只需耗費極低的網絡頻寬,就能讓企業或服務供應商的伺服器記憶體瞬間耗盡,從而導致系統崩潰、服務中斷。
這項發現不僅敲響了全球網絡基礎設施的安全警鐘,也證實了大型語言模型(LLM)與自動化 AI 工具在挖掘未知零日漏洞(Zero-day vulnerabilities)上的強大潛力。目前相關網絡安全專家已呼籲各大網絡管理員與企業,應密切關注各大網頁伺服器廠商隨後釋出的安全更新,並重新審視現有的 HTTP/2 配置,以防範潛在的遠端癱瘓風險。
資料來源:
