Dunia keamanan siber kembali dikejutkan oleh kemunculan CVE-2026-49975, sebuah kerentanan Denial-of-Service (DoS) yang dijuluki HTTP/2 Bomb. Kerentanan ini dianggap sangat berbahaya karena memungkinkan penyerang tanpa autentikasi melumpuhkan server web hanya dengan memanfaatkan mekanisme standar dalam protokol HTTP/2. Bahkan, menurut analisis yang dipublikasikan Imperva, koneksi internet rumahan 100 Mbps dapat menghabiskan hingga 32 GB memori server dalam waktu sekitar 20 detik.
Yang membuat kasus ini semakin menarik adalah fakta bahwa rantai eksploitasi tersebut dilaporkan ditemukan dengan bantuan AI, yang berhasil menghubungkan dua teknik lama menjadi satu metode serangan baru yang sangat efektif.
Apa Itu HTTP/2 Bomb?
HTTP/2 Bomb adalah serangan resource exhaustion yang memanfaatkan kombinasi dua mekanisme:
-
HPACK Compression Bomb
-
Flow-Control Slowloris Hold
Secara terpisah, kedua teknik ini sudah dikenal selama bertahun-tahun. Namun ketika digabungkan, keduanya dapat menciptakan efek yang jauh lebih destruktif.
Ringkasan Kerentanan
| Parameter | Detail |
|---|---|
| CVE | CVE-2026-49975 |
| Nama | HTTP/2 Bomb |
| Jenis Serangan | Denial of Service (DoS) |
| Dampak | Memory Exhaustion |
| Autentikasi | Tidak diperlukan |
| Protokol | HTTP/2 |
| Tingkat Risiko | Kritis |
Bagaimana Cara Kerja Serangan Ini?
Tahap 1: HPACK Compression Bomb
HTTP/2 menggunakan mekanisme kompresi header bernama HPACK untuk meningkatkan efisiensi komunikasi.
Dalam serangan ini, penyerang memanfaatkan cara server mengelola tabel header dinamis sehingga:
-
Header kecil memicu alokasi memori besar.
-
Server terus membuat struktur internal tambahan.
-
Konsumsi RAM meningkat secara signifikan.
Yang menarik, bukan ukuran data yang menjadi masalah utama, melainkan overhead internal yang diciptakan server saat memproses header tersebut.
Dampak HPACK Abuse
| Aktivitas Penyerang | Dampak pada Server |
|---|---|
| Mengirim header kecil | Alokasi memori besar |
| Memanipulasi tabel HPACK | Overhead meningkat |
| Menambah entri dinamis | RAM terus bertambah |
| Mengulang proses | Resource exhaustion |
Tahap 2: Flow-Control Slowloris Hold
Setelah memori dialokasikan, tahap berikutnya adalah mempertahankan penggunaan memori tersebut.
Penyerang mengirim flow-control window bernilai nol sehingga:
-
Server tidak dapat mengirim respons.
-
Timeout tidak terpicu.
-
Koneksi tetap aktif.
-
Memori yang sudah dialokasikan tidak pernah dibebaskan.
Akibatnya server terjebak mempertahankan resource yang terus bertambah hingga akhirnya kehabisan memori.
Mekanisme Serangan
| Tahap | Hasil |
|---|---|
| HPACK Abuse | Memori dialokasikan |
| Flow-Control Hold | Memori ditahan |
| Resource Accumulation | RAM terus bertambah |
| Exhaustion | Server tidak responsif |
| Outage | Layanan berhenti |
Server Apa Saja yang Terdampak?
Kerentanan ini tidak terbatas pada satu vendor tertentu.
Menurut Imperva, konfigurasi default HTTP/2 pada berbagai platform populer terdampak, termasuk:
-
NGINX
-
Apache HTTPD
-
Microsoft IIS
-
Envoy
-
Cloudflare Pingora
Karena platform-platform tersebut digunakan secara luas di internet, cakupan risiko menjadi sangat besar. Peneliti memperkirakan lebih dari 880.000 situs web berpotensi terdampak saat kerentanan ini dipublikasikan.
Infrastruktur yang Terdampak
| Platform | Status Awal |
|---|---|
| NGINX | Terdampak |
| Apache HTTPD | Terdampak |
| Microsoft IIS | Terdampak |
| Envoy | Terdampak |
| Pingora | Terdampak |
Mengapa HTTP/2 Bomb Sangat Berbahaya?
Berbeda dengan DDoS tradisional yang membutuhkan botnet besar, HTTP/2 Bomb memiliki karakteristik unik.
Perbandingan dengan DDoS Tradisional
| DDoS Tradisional | HTTP/2 Bomb |
|---|---|
| Membutuhkan banyak perangkat | Dapat dilakukan satu host |
| Bandwidth besar | Bandwidth rendah |
| Mudah terlihat | Tampak seperti trafik HTTP/2 normal |
| Fokus volume trafik | Fokus eksploitasi protokol |
| Infrastruktur besar | Komputer rumahan cukup |
Karena memanfaatkan frame HTTP/2 yang valid, banyak mekanisme keamanan tradisional tidak langsung mengenali aktivitas tersebut sebagai serangan.
Aktivitas yang Sudah Diamati di Internet
Imperva Threat Research melaporkan telah melihat aktivitas:
-
Reconnaissance.
-
Scanning.
-
Proof-of-Concept testing.
-
Automated probing.
Pelaku ancaman mencoba mengidentifikasi server yang masih menggunakan konfigurasi rentan dengan menguji pola header HPACK dan mekanisme flow-control tertentu.
Aktivitas Pasca Pengungkapan
| Aktivitas | Tujuan |
|---|---|
| Scanning | Identifikasi target |
| Probing | Verifikasi kerentanan |
| PoC Testing | Menguji eksploitasi |
| Automation | Persiapan serangan massal |
Bagaimana Imperva Melindungi Pelanggannya?
Imperva menyatakan bahwa pelanggan yang menggunakan solusi Cloud WAF mereka telah mendapatkan perlindungan terhadap eksploitasi HTTP/2 Bomb.
Perlindungan dilakukan dengan:
-
Inspeksi frame HTTP/2.
-
Analisis struktur stream.
-
Deteksi anomali HPACK.
-
Pemblokiran pola flow-control berbahaya.
Dengan pendekatan ini, trafik berbahaya dapat dihentikan di edge sebelum mencapai server backend organisasi.
Lapisan Perlindungan Imperva
| Komponen | Fungsi |
|---|---|
| Cloud WAF | Memblokir trafik berbahaya |
| HTTP/2 Inspection | Analisis frame dan stream |
| Protocol Validation | Verifikasi perilaku protokol |
| Edge Mitigation | Menghentikan serangan sebelum backend |
Langkah Mitigasi untuk Organisasi
Selain menggunakan WAF, organisasi perlu segera melakukan tindakan mitigasi.
Rekomendasi Keamanan
| Langkah | Manfaat |
|---|---|
| Patch server | Menutup kerentanan |
| Audit aset HTTP/2 | Mengetahui eksposur |
| Monitoring memori | Mendeteksi anomali |
| Implementasi WAF | Perlindungan tambahan |
| Rate limiting | Mengurangi risiko eksploitasi |
| Header restriction | Membatasi abuse HPACK |
Imperva juga menekankan pentingnya memastikan pembatasan header HTTP/2 diterapkan secara aktif pada kebijakan keamanan.
Dampak bagi Organisasi di Indonesia
Banyak organisasi Indonesia menjalankan layanan berbasis:
-
NGINX.
-
Apache.
-
IIS.
-
Reverse proxy berbasis Envoy.
-
Infrastruktur cloud hybrid.
Karena HTTP/2 telah menjadi standar komunikasi web modern, sebagian besar organisasi kemungkinan telah mengaktifkannya tanpa mempertimbangkan risiko spesifik seperti HTTP/2 Bomb.
Sektor yang Berpotensi Terdampak
| Industri | Risiko |
|---|---|
| Perbankan | Gangguan layanan digital |
| Telekomunikasi | Downtime layanan pelanggan |
| E-Commerce | Hilangnya transaksi |
| Pemerintahan | Gangguan layanan publik |
| Pendidikan | Gangguan portal akademik |
| Kesehatan | Gangguan aplikasi klinis |
Kesimpulan
CVE-2026-49975 atau HTTP/2 Bomb menunjukkan bahwa ancaman modern tidak selalu berasal dari malware atau eksploitasi kode yang kompleks. Dengan menggabungkan dua teknik lama—HPACK compression abuse dan Slowloris-style flow control—penyerang dapat menyebabkan kehabisan memori pada berbagai server web populer hanya dengan sumber daya yang sangat kecil. Kerentanan ini berdampak pada NGINX, Apache HTTPD, Microsoft IIS, Envoy, dan Cloudflare Pingora, serta berpotensi memengaruhi ratusan ribu situs web di seluruh dunia.
Bagi organisasi, insiden ini menjadi pengingat bahwa keamanan aplikasi web tidak hanya bergantung pada patch sistem, tetapi juga pada kemampuan memantau perilaku protokol dan menerapkan perlindungan berlapis. Dengan kombinasi patching, konfigurasi yang tepat, monitoring, serta solusi WAF modern seperti yang diterapkan Imperva, risiko eksploitasi HTTP/2 Bomb dapat diminimalkan sebelum berkembang menjadi gangguan layanan yang signifikan.
Imperva Indonesia merupakan bagian dari PT. iLogo Infralogy Indonesia, yang bertindak sebagai partner resmi Imperva.
Selain itu, kami juga berperan sebagai penyedia layanan (vendor) sekaligus distributor berbagai produk Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
