Segui 
Una nuova vulnerabilità di denial-of-service recentemente divulgata, tracciata come CVE-2026-49975, mostra come le debolezze note di HTTP/2 possano ancora essere concatenate in un attacco moderno altamente efficace. SecurityWeek riporta che i ricercatori di Calif hanno dimostrato un exploit HTTP/2 Bomb capace di mettere offline importanti server web in pochi secondi combinando una bomba di compressione con un hold in stile Slowloris che impedisce al server di rilasciare la memoria.
Secondo il rapporto, l’attacco può potenzialmente colpire più di 880.000 siti web che supportano HTTP/2 e utilizzano configurazioni predefinite di NGINX, Apache HTTP(Web) Server, Microsoft IIS, Envoy o Cloudflare Pingora. Calif ha inoltre affermato che l’attacco può essere lanciato da un computer domestico con una connessione a 100 Mbps e rendere comunque i server colpiti non disponibili in pochi secondi.
Analisi CVE-2026-49975
SecurityWeek spiega che l’attacco non è basato su un singolo nuovo difetto, ma su una catena di tecniche di denial-of-service note. La prima fase si basa su HPACK Bomb, tracciata come CVE-2016-6581, che abusa della compressione degli header HTTP/2 in modo che messaggi molto piccoli si espandano in strutture che consumano grandi quantità di memoria sul server di destinazione. L’articolo osserva che questa tecnica è stata dimostrata contro Apache HTTPD l’anno scorso con un tasso di amplificazione di 4.000x, e Apache ha affrontato il problema nella versione 2.4.64 come CVE-2025-53020.
La seconda fase sfrutta CVE-2016-8740 e CVE-2016-1546, due problematiche in stile Slowloris HTTP/2 legate ai frame di continuazione e alle finestre di controllo del flusso manipolate. Come descritto da SecurityWeek, gli attaccanti possono pubblicizzare una finestra di controllo del flusso a zero byte, impedendo al server di inviare una risposta, e poi resettare il timeout di invio in modo che le allocazioni di memoria rimangano bloccate anziché liberate.
Ciò che rende questa variante notevole è che, secondo l’interpretazione di Calif citata da SecurityWeek, l’amplificazione non deriva da un ampio valore di header decodificato. Invece, deriva dalla contabilità per voce che il server alloca attorno a intestazioni quasi vuote, il che significa che i limiti di dimensione decodificati tradizionali potrebbero non fermare l’attacco perché c’è “quasi nulla da decodificare”. Il rapporto afferma anche che Calif ha trovato un bypass per i server che limitano il conteggio dei campi header e ha rilasciato un codice di prova del concetto per dimostrare l’attacco.
Mitigazione CVE-2026-49975
SecurityWeek riporta che NGINX ha risolto il bug ad aprile, mentre Apache ha rilasciato le correzioni a fine maggio e assegnato CVE-2026-49975. Al momento del rapporto, Microsoft IIS, Envoy e Cloudflare Pingora non erano ancora stati corretto.
Da un punto di vista della difesa pratica, la priorità a breve termine più chiara è identificare i sistemi esposti a Internet che utilizzano configurazioni predefinite HTTP/2 e verificare se utilizzano software aggiornato. Poiché l’articolo non pubblica IOC specifici o telemetria di rilevamento profonda, l’approccio più realistico è concentrarsi sui servizi HTTP/2 esposti, picchi di memoria rapidi e instabilità del servizio improvvisa coerente con l’esaurimento della memoria. Quest’ultimo punto è un’inferenza difensiva basata sul comportamento dell’attacco descritto nel rapporto di SecurityWeek.
FAQ
Cos’è CVE-2026-49975 e come funziona?
CVE-2026-49975 è l’identificatore assegnato da Apache per una catena di attacchi di denial-of-service che combina una bomba di compressione basata su HPACK con un hold in stile Slowloris HTTP/2. Il risultato è un rapido esaurimento della memoria che può rendere i server vulnerabili non disponibili in pochi secondi.
Quando è stato scoperto per la prima volta CVE-2026-49975?
L’articolo di SecurityWeek non fornisce una data di scoperta privata. Si dice che l’exploit sia stato ribattezzato HTTP/2 Bomb, è stato scoperto utilizzando Codex di OpenAI e che NGINX ha risolto il problema ad aprile mentre Apache ha rilasciato le correzioni a fine maggio.
Qual è l’impatto di CVE-2026-49975 sui sistemi?
L’impatto principale è il denial of service. SecurityWeek afferma che l’exploit può esaurire la memoria del server e mettere offline i principali server web in pochi secondi, anche se lanciato da una connessione internet domestica relativamente modesta.
CVE-2026-49975 può influenzarmi ancora nel 2026?
Sì. I sistemi possono essere ancora esposti nel 2026 se utilizzano configurazioni predefinite vulnerabili di HTTP/2, specialmente su prodotti che non erano ancora stati corretti al momento del rapporto, inclusi Microsoft IIS, Envoy e Cloudflare Pingora.
Come posso proteggermi da CVE-2026-49975?
Applica le correzioni fornite dai vendor, verifica se il tuo stack web utilizza impostazioni HTTP/2 di default e dai priorità ai server esposti a Internet per la verifica. Basandosi sul comportamento dell’attacco descritto in SecurityWeek, monitorare un consumo anomalo della memoria e un degrado improvviso del servizio è anche un passo difensivo intermedio sensato.
