OpenAI ha comunicato che Codex viene usato da oltre 5 milioni di utenti a settimana. Un ricercatore ha sfruttato la potenza dell’agente AI per scoprire una vulnerabilità presente nei principali web server. Il relativo exploit, denominato HTTP/2 Bomb, permette di eseguire attacchi DoS (Denial of Service) che saturano la RAM in pochi secondi.
Attacco DoS con un singolo computer
La vulnerabilità esiste nella configurazione predefinita di HTTP/2 dei web server più utilizzati, tra cui nginx, Apache httpd, Microsoft IIS, Envoy e Cloudflare Pingora. L’exploit HTTP/2 Bomb è stato scoperto da Codex combinando due tecniche note da molti anni. I dettagli sono stati pubblicati dai ricercatori di Calif.
È sufficiente un computer con una connessione a 100 Mbps (quindi una vecchia ADSL) per rendere inaccessibile un server vulnerabile in pochi secondi. Nelle dimostrazioni pubblicate sul sito di Calif si può vedere che un singolo client può saturare i 32 GB di memoria di un server Apache httpd e Envoy in circa 10 e 18 secondi, rispettivamente. Per nginx e Microsoft IIS servono invece circa 45 secondi.
L’exploit sfrutta sfrutta il meccanismo HPACK utilizzato dal protocollo HTTP/2 per la compressione degli header. Dopo aver inserito un header nella tabella dinamica HPACK è possibile farvi riferimento migliaia di volte. Questa amplificazione satura la RAM.
La seconda parte dell’attacco DoS impedisce di liberare la memoria dopo aver completato la richiesta. Queste tecniche permettono di aggirare le protezioni, come la dimensione massima dell’header. I dettagli completi verranno svelati durante la conferenza Real World AI Security di fine giugno, ma il codice dell’exploit è già disponibile su GitHub.
Il problema è stato risolto per nginx, Envoy e Apache httpd. Microsoft IIS e Cloudflare Pingora sono ancora vulnerabili. La soluzione temporanea è disattivare HTTP/2 o mettere i server dietro CDN, reverse proxy e firewall.
Ti potrebbe interessare
4 giu 2026