{"id":5089,"date":"2026-06-05T08:58:54","date_gmt":"2026-06-05T13:58:54","guid":{"rendered":"https:\/\/cert.pa\/?p=5089"},"modified":"2026-06-05T08:58:54","modified_gmt":"2026-06-05T13:58:54","slug":"csirt-panama-aviso-2026-06-04-nueva-tecnica-de-ataque-http-2-bomb-puede-tumbar-servidores-web-en-segundos-con-poc-publico-cve-2026-49975","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=5089","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2026-06-04: Nueva T\u00e9cnica de Ataque &#8220;HTTP\/2 Bomb&#8221; Puede Tumbar Servidores Web en Segundos con PoC P\u00fablico (CVE-2026-49975)"},"content":{"rendered":"<p><strong>Gravedad:<\/strong> Alta &nbsp;&nbsp;&nbsp;&nbsp; <strong>Fecha de publicaci\u00f3n:<\/strong> 04 de junio de 2026 &nbsp;&nbsp;&nbsp;&nbsp; <strong>\u00daltima revisi\u00f3n:<\/strong> 04 de junio de 2026<\/p>\n<hr\/>\n<h2>Sistemas Afectados<\/h2>\n<ul>\n<li>NGINX versiones anteriores a 1.29.8 con HTTP\/2 habilitado<\/li>\n<li>Apache HTTP Server con mod_http2 versiones anteriores a 2.0.41<\/li>\n<li>Microsoft IIS en Windows Server (sin parche disponible al 04\/06\/2026)<\/li>\n<li>Envoy Proxy versiones hasta 1.37.2 (sin parche disponible)<\/li>\n<li>Cloudflare Pingora (sin parche disponible)<\/li>\n<li>Cualquier servidor web con HTTP\/2 habilitado sin protecciones de proxy o CDN en frente<\/li>\n<\/ul>\n<table>\n<tbody>\n<tr>\n<td><strong>Identificador CVE<\/strong><\/td>\n<td>CVE-2026-49975 (nginx\/Apache; IIS y Envoy sin CVE)<\/td>\n<\/tr>\n<tr>\n<td><strong>CVSS Score<\/strong><\/td>\n<td>8.6 (Alta)<\/td>\n<\/tr>\n<tr>\n<td><strong>Tecnolog\u00eda<\/strong><\/td>\n<td>NGINX (antes de 1.29.8), Apache HTTP Server mod_http2 (antes de 2.0.41), Microsoft IIS, Envoy Proxy, Cloudflare Pingora<\/td>\n<\/tr>\n<tr>\n<td><strong>Fuente<\/strong><\/td>\n<td>BleepingComputer<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>I. Descripci\u00f3n<\/h2>\n<p>CSIRT Panam\u00e1 alerta sobre la publicaci\u00f3n el 3 de junio de 2026 de una nueva t\u00e9cnica de ataque de denegaci\u00f3n de servicio (DoS) denominada &#8220;HTTP\/2 Bomb&#8221;, descubierta por investigadores de la firma de seguridad ofensiva Calif con asistencia del agente de software Codex de OpenAI. La t\u00e9cnica combina dos m\u00e9todos DoS conocidos de HTTP\/2 \u2014amplificaci\u00f3n de compresi\u00f3n HPACK y retenci\u00f3n de recursos estilo Slowloris mediante control de flujo\u2014 logrando un efecto devastador desde una sola m\u00e1quina.<\/p>\n<p>Un atacante con una conexi\u00f3n de 100 Mbps puede agotar decenas de gigabytes de RAM del servidor en cuesti\u00f3n de segundos, forzando al servidor a asignar memoria y luego impidiendo su liberaci\u00f3n. Las pruebas realizadas por Calif demostraron que Envoy agot\u00f3 32 GB de RAM en aproximadamente 10 segundos, Apache httpd en 18 segundos, NGINX en 45 segundos, y Microsoft IIS agot\u00f3 64 GB en 45 segundos. Los ratios de amplificaci\u00f3n son de hasta 5.700:1 byte enviado por el atacante.<\/p>\n<p>El c\u00f3digo de prueba de concepto (PoC) ya est\u00e1 disponible p\u00fablicamente, aunque los detalles t\u00e9cnicos completos ser\u00e1n presentados en la conferencia Real World AI Security. NGINX y Apache ya publicaron parches; IIS, Envoy y Pingora a\u00fan no cuentan con correcciones disponibles.<\/p>\n<h2>II. Impacto<\/h2>\n<ul>\n<li>Interrupci\u00f3n completa del servicio web (disponibilidad) en segundos desde un \u00fanico atacante.<\/li>\n<li>Agotamiento de toda la memoria RAM del servidor, forzando reinicio de servicios o del servidor completo.<\/li>\n<li>Afectaci\u00f3n de aplicaciones web, APIs, servicios de e-commerce y plataformas en l\u00ednea cr\u00edticas.<\/li>\n<li>Posibilidad de ataques coordinados desde m\u00faltiples fuentes para afectar infraestructuras con CDN o proxies.<\/li>\n<li>Riesgo amplificado por la disponibilidad p\u00fablica del PoC, que facilita ataques por actores poco sofisticados.<\/li>\n<\/ul>\n<h2>III. Referencia a soluciones, herramientas e informaci\u00f3n<\/h2>\n<p>CSIRT Panam\u00e1 recomienda a los administradores de servidores web y plataformas de aplicaciones las siguientes acciones para mitigar el riesgo del ataque HTTP\/2 Bomb:<\/p>\n<ul>\n<li>NGINX: actualizar a la versi\u00f3n 1.29.8 o superior, que incluye la directiva &#8220;max_headers&#8221; para limitar los encabezados HTTP\/2. Si no es posible actualizar inmediatamente, deshabilitar HTTP\/2 temporalmente.<\/li>\n<li>Apache HTTP Server: actualizar mod_http2 a la versi\u00f3n 2.0.41 o superior que corrige CVE-2026-49975.<\/li>\n<li>Microsoft IIS, Envoy, Pingora: no existe parche disponible a\u00fan. Mitigaci\u00f3n recomendada: deshabilitar HTTP\/2 donde sea factible, o colocar un WAF, proxy reverso o CDN en frente que aplique l\u00edmites estrictos de conteo de encabezados.<\/li>\n<li>Implementar l\u00edmites de memoria por conexi\u00f3n y timeouts agresivos en la configuraci\u00f3n del servidor web.<\/li>\n<li>Verificar si la infraestructura ya est\u00e1 protegida por CDN o proxy reverso que limite la exposici\u00f3n directa al protocolo HTTP\/2.<\/li>\n<li>Activar alertas de monitoreo para picos anormales de uso de memoria RAM en servidores web.<\/li>\n<\/ul>\n<h2>Referencias<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-http-2-bomb-dos-attack-crashes-web-servers-in-under-a-minute\/\" target=\"_blank\">https:\/\/www.bleepingcomputer.com\/news\/security\/new-http-2-bomb-dos-attack-crashes-web-servers-in-under-a-minute\/<\/a><\/li>\n<li><a href=\"https:\/\/www.securityweek.com\/http-2-bomb-exploit-knocks-web-servers-offline-in-seconds\/\" target=\"_blank\">https:\/\/www.securityweek.com\/http-2-bomb-exploit-knocks-web-servers-offline-in-seconds\/<\/a><\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2026-49975\" target=\"_blank\">https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2026-49975<\/a><\/li>\n<li><a href=\"https:\/\/nginx.org\/en\/CHANGES\" target=\"_blank\">https:\/\/nginx.org\/en\/CHANGES<\/a><\/li>\n<\/ul>\n<hr\/>\n<p><strong>CSIRT PANAMA<\/strong> \u00b7 Computer Security Incident Response Team<br \/>\nAutoridad Nacional para la Innovaci\u00f3n Gubernamental<br \/>\nE-Mail: <a href=\"mailto:incidentes@cert.pa\">incidentes@cert.pa<\/a> \u00b7 <a href=\"mailto:info@cert.pa\">info@cert.pa<\/a><br \/>\nPhone: +507 520-CERT (2378) \u00b7 Web: <a href=\"https:\/\/cert.pa\">https:\/\/cert.pa<\/a> \u00b7 X: @CSIRTPanama \u00b7 Key ID: 16F2B124<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Gravedad: Alta &nbsp;&nbsp;&nbsp;&nbsp; Fecha de publicaci\u00f3n: 04 de junio de 2026 &nbsp;&nbsp;&nbsp;&nbsp; \u00daltima revisi\u00f3n: 04 de junio de 2026 Sistemas Afectados NGINX versiones anteriores a 1.29.8 con HTTP\/2 habilitado Apache HTTP Server con mod_http2 versiones&#8230;<\/p>\n","protected":false},"author":5,"featured_media":4422,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[102,72,49,223,136,222,227,9,208,216,212],"class_list":["post-5089","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad","tag-apache","tag-avisos-de-seguridad","tag-ciberseguridad","tag-dos","tag-exploits","tag-http-2","tag-iis","tag-microsoft","tag-nginx","tag-poc-publico","tag-vulnerabilidad-critica"],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/5089","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5089"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/5089\/revisions"}],"predecessor-version":[{"id":5096,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/5089\/revisions\/5096"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/4422"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5089"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5089"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5089"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}