Uma nova vulnerabilidade no protocolo HTTP/2 foi descoberta, expondo servidores web a ataques de negação de serviço (DoS). A falha, nomeada como HTTP/2 CONTINUATION Flood, foi identificada pelo pesquisador de segurança Bartek Nowotarski e reportada ao CERT Coordination Center (CERT/CC) em 25 de janeiro de 2024.

A vulnerabilidade, CVE-2024-29745, afeta a forma como os frames de CONTINUATION são processados dentro de uma única transmissão, permitindo que atacantes enviem uma sequência de frames que sobrecarregam a memória do servidor, levando a um possível crash por falta de memória (OOM). A falha descoberta permite que um atacante inicie uma nova transmissão HTTP/2 contra um servidor alvo e envie frames de HEADER e CONTINUATION sem a flag END_HEADERS, criando um fluxo contínuo de cabeçalhos que o servidor precisa processar e armazenar em memória.

A gravidade dessa vulnerabilidade é comparada ao ataque Rapid Reset, descoberto em outubro de 2023, mas com um potencial de impacto ainda maior. Um único dispositivo, e em alguns casos, uma única conexão TCP ou um punhado de frames, pode perturbar a disponibilidade do servidor, causando desde crashes até degradação significativa do desempenho.

Os ataques realizados com essa vulnerabilidade não são registrados nos logs de acesso HTTP, tornando-os invisíveis para os administradores de sistemas durante a análise de tráfego normal.

O resultado exato da exploração dessa vulnerabilidade varia conforme a implementação, mas pode incluir crash instantâneo após o envio de alguns frames HTTP/2, crash por falta de memória ou exaustão da CPU, afetando a disponibilidade do servidor. É recomendado que os usuários atualizem o software afetado para a versão mais recente para mitigar possíveis ameaças. Na ausência de uma correção, pode ser considerado desativar temporariamente o HTTP/2 no servidor.