наскоро Информация за критична уязвимост беше разкрита в протоколът HTTP/2, наречен MadeYouReset (CVE-2025-8671). Това е техника, която позволява на нападателите да опростят атаките за отказ от услуга (DoS), изчерпване на сървърните ресурси чрез манипулиране на контролни рамки.
Това, което прави този разлом особено опасен, е, че успява да избегне механизма за сигурност, интегриран в HTTP/2 известен като MAX_CONCURRENT_STREAMS, предназначен да ограничи броя на едновременните заявки, които клиентът може да поддържа. С MadeYouReset тази бариера изчезва, оставяйки сървъра изложен на практически неограничена лавина от заявки.
Уязвимост Това е еволюция на добре познатата атака Бързо нулиране на 2023 г., въпреки че въвежда неочакван обрат: Вместо клиентът да отменя заявката, сега това прави самият сървър. което по погрешка рестартира потока, генерирайки същото опустошително въздействие с минимално натоварване за нападателя.
Как работи MadeYouReset
За да разберем тази заплаха, е важно да запомним как работи HTTP/2. Този протокол организира комуникацията в потоци, всеки от които е съставен от заявки и отговори. За да се поддържа баланс, има ограничение, което не позволява на клиент да залее сървъра с твърде много активни заявки. Въпреки това, MadeYouReset използва вратичка в имплементацията: pПозволява ви да инициирате валидна заявка и след това да принудите сървъра да генерира грешка в последователността от кадри.
Тази грешка задейства RST_STREAM, което на теория би трябвало да спре обработкатаВъпреки това, в много HTTP/2 реализации, сървърът продължава да изпълнява заявката във фонов режим, консумирайки ценни процесорни и паметови ресурси, въпреки че потокът вече се счита за затворен.
По този начин нападателят може да повтаря процеса за неопределено време., изпращайки минимални заявки, които почти не струват никакви усилия, докато сървърът е принуден да инвестира огромно количество ресурси в обслужването им.
Въздействие върху сървърите и приложенията
Обхватът на MadeYouReset е значителен. Сред системите, потвърдени като уязвими, са Apache Tomcat, Netty, Eclipse Jetty, Fastly, Varnish, Lighttpd, h2o, Pingora, BIND (в неговата имплементация на DNS през HTTPS) и Zephyr RTOS, както и няколко услуги, свързани с Mozilla.
Най-често срещаният ефект е пълен отказ от услуга, но В по-сериозни случаи сървърите се сриват поради липса на памет (OOM). Това зависи от фактори като капацитет на хардуера, скоростта на атакуващия и вида на атакувания ресурс.
Дори когато заявките не изискват интензивна обработка от backend-а, постоянното създаване и унищожаване на потоци (парсиране на кадри, HPACK компресия, поддръжка на състоянието) генерира достатъчно режийни разходи, за да влоши сериозно производителността.
От бързо нулиране до MadeYouReset
Уязвимост Бързото рестартиране от 2023 г. вече демонстрира колко е трудно да се защити HTTP/2. срещу злоупотреба с паралелизъм. В този случай атаката се състоеше от отваряне и анулиране на заявки с висока скорост. Въведеното смекчаване беше сравнително просто: ограничаване на броя на разрешените анулирания на клиент.
MadeYouReset обаче избягва тази защита. Тъй като нулирането не се задейства от клиента, а от самия сървър след откриване на несъответствия в контролните рамки, ограниченията, прилагани за анулирането от страна на клиента, стават безполезни. Това прави MadeYouReset много по-трудна за спиране заплаха.
Последици за мрежата и следващи стъпки
Изследователите, стоящи зад откритието, предупреждават, че асиметричният характер на HTTP/2 прави тази уязвимост с огромен разрушителен потенциал. Нападател с минимални ресурси може да спре критични услуги, възползвайки се от дизайн, който обикновено е от полза за ефективността и скоростта на съвременния интернет.
Въпреки че Някои платформи като Apache httpd, HAProxy, Node.js или LiteSpeed не са засегнати. Списъкът с уязвими проекти е обширен и компрометира голяма част от интернет инфраструктурата. Статутът на Nginx все още не е ясно определен.
Проучванията продължават и доставчиците работят върху специфични мерки за смекчаване на проблема. Междувременно MadeYouReset подчертава крехкия баланс между производителност и сигурност в протоколите за мрежова комуникация.
Fuente: https://galbarnahum.com