Gravedad: Alta Fecha de publicación: 04 de junio de 2026 Última revisión: 04 de junio de 2026
Sistemas Afectados
- NGINX versiones anteriores a 1.29.8 con HTTP/2 habilitado
- Apache HTTP Server con mod_http2 versiones anteriores a 2.0.41
- Microsoft IIS en Windows Server (sin parche disponible al 04/06/2026)
- Envoy Proxy versiones hasta 1.37.2 (sin parche disponible)
- Cloudflare Pingora (sin parche disponible)
- Cualquier servidor web con HTTP/2 habilitado sin protecciones de proxy o CDN en frente
| Identificador CVE | CVE-2026-49975 (nginx/Apache; IIS y Envoy sin CVE) |
| CVSS Score | 8.6 (Alta) |
| Tecnología | NGINX (antes de 1.29.8), Apache HTTP Server mod_http2 (antes de 2.0.41), Microsoft IIS, Envoy Proxy, Cloudflare Pingora |
| Fuente | BleepingComputer |
I. Descripción
CSIRT Panamá alerta sobre la publicación el 3 de junio de 2026 de una nueva técnica de ataque de denegación de servicio (DoS) denominada “HTTP/2 Bomb”, descubierta por investigadores de la firma de seguridad ofensiva Calif con asistencia del agente de software Codex de OpenAI. La técnica combina dos métodos DoS conocidos de HTTP/2 —amplificación de compresión HPACK y retención de recursos estilo Slowloris mediante control de flujo— logrando un efecto devastador desde una sola máquina.
Un atacante con una conexión de 100 Mbps puede agotar decenas de gigabytes de RAM del servidor en cuestión de segundos, forzando al servidor a asignar memoria y luego impidiendo su liberación. Las pruebas realizadas por Calif demostraron que Envoy agotó 32 GB de RAM en aproximadamente 10 segundos, Apache httpd en 18 segundos, NGINX en 45 segundos, y Microsoft IIS agotó 64 GB en 45 segundos. Los ratios de amplificación son de hasta 5.700:1 byte enviado por el atacante.
El código de prueba de concepto (PoC) ya está disponible públicamente, aunque los detalles técnicos completos serán presentados en la conferencia Real World AI Security. NGINX y Apache ya publicaron parches; IIS, Envoy y Pingora aún no cuentan con correcciones disponibles.
II. Impacto
- Interrupción completa del servicio web (disponibilidad) en segundos desde un único atacante.
- Agotamiento de toda la memoria RAM del servidor, forzando reinicio de servicios o del servidor completo.
- Afectación de aplicaciones web, APIs, servicios de e-commerce y plataformas en línea críticas.
- Posibilidad de ataques coordinados desde múltiples fuentes para afectar infraestructuras con CDN o proxies.
- Riesgo amplificado por la disponibilidad pública del PoC, que facilita ataques por actores poco sofisticados.
III. Referencia a soluciones, herramientas e información
CSIRT Panamá recomienda a los administradores de servidores web y plataformas de aplicaciones las siguientes acciones para mitigar el riesgo del ataque HTTP/2 Bomb:
- NGINX: actualizar a la versión 1.29.8 o superior, que incluye la directiva “max_headers” para limitar los encabezados HTTP/2. Si no es posible actualizar inmediatamente, deshabilitar HTTP/2 temporalmente.
- Apache HTTP Server: actualizar mod_http2 a la versión 2.0.41 o superior que corrige CVE-2026-49975.
- Microsoft IIS, Envoy, Pingora: no existe parche disponible aún. Mitigación recomendada: deshabilitar HTTP/2 donde sea factible, o colocar un WAF, proxy reverso o CDN en frente que aplique límites estrictos de conteo de encabezados.
- Implementar límites de memoria por conexión y timeouts agresivos en la configuración del servidor web.
- Verificar si la infraestructura ya está protegida por CDN o proxy reverso que limite la exposición directa al protocolo HTTP/2.
- Activar alertas de monitoreo para picos anormales de uso de memoria RAM en servidores web.
Referencias
- https://www.bleepingcomputer.com/news/security/new-http-2-bomb-dos-attack-crashes-web-servers-in-under-a-minute/
- https://www.securityweek.com/http-2-bomb-exploit-knocks-web-servers-offline-in-seconds/
- https://nvd.nist.gov/vuln/detail/CVE-2026-49975
- https://nginx.org/en/CHANGES
CSIRT PANAMA · Computer Security Incident Response Team
Autoridad Nacional para la Innovación Gubernamental
E-Mail: incidentes@cert.pa · info@cert.pa
Phone: +507 520-CERT (2378) · Web: https://cert.pa · X: @CSIRTPanama · Key ID: 16F2B124