Nesen Informācija par kritisku ievainojamību tika atklāta HTTP/2 protokols, kas nosaukts par MadeYouReset (CVE-2025-8671). Šī ir metode, kas ļauj uzbrucējiem vienkāršot pakalpojuma atteikuma uzbrukumus (DoS), kas pārslogo servera resursus, manipulējot ar vadības kadriem.
Īpaši bīstamu šo defektu padara tas, ka izdodas apiet HTTP/2 integrēto drošības mehānismu pazīstams kā MAX_CONCURRENT_STREAMS, kas paredzēts, lai ierobežotu vienlaicīgu pieprasījumu skaitu, ko klients var apstrādāt. Ar MadeYouReset šī barjera izzūd, atstājot serveri pakļautu praktiski neierobežotai pieprasījumu lavīnai.
Neaizsargātība Tā ir labi zināmā uzbrukuma evolūcija. 2023. gada ātrā atiestatīšana, lai gan tā ievieš negaidītu pavērsienu: Klienta vietā, kas atceļ pieprasījumu, tagad to dara pats serveris. kas kļūdas pēc restartē plūsmu, radot tādu pašu postošu triecienu ar minimālu slodzi uzbrucējam.
Kā darbojas MadeYouReset
Lai izprastu šo apdraudējumu, ir svarīgi atcerēties, kā darbojas HTTP/2. Šis protokols organizē saziņu plūsmās, katra no kurām sastāv no pieprasījumiem un atbildēm. Lai saglabātu līdzsvaru, pastāv ierobežojums, kas neļauj klientam pārpludināt serveri ar pārāk daudziem aktīviem pieprasījumiem. Tomēr MadeYouReset izmanto nepilnību ieviešanā: pĻauj iniciēt derīgu pieprasījumu un pēc tam piespiest serveri ģenerēt kļūdu kadru secībā.
Tā kļūda aktivizē RST_STREAM, kam teorētiski vajadzētu apturēt apstrādiTomēr daudzās HTTP/2 implementācijās serveris turpina izpildīt pieprasījumu fonā, patērējot vērtīgus centrālā procesora un atmiņas resursus, pat ja plūsma jau tiek uzskatīta par slēgtu.
Tādā veidā uzbrucējs var atkārtot procesu bezgalīgi., nosūtot minimālu pieprasījumu skaitu, kas neprasa gandrīz nekādas pūles, savukārt serverim ir jāiegulda milzīgs resursu apjoms to apkalpošanā.
Ietekme uz serveriem un lietojumprogrammām
MadeYouReset darbības joma ir ievērojama. Starp sistēmām, kas apstiprinātas kā ievainojamas, ir Apache Tomcat, Netty, Eclipse Jetty, Fastly, Varnish, Lighttpd, h2o, Pingora, BIND (tā DNS pār HTTPS ieviešanā) un Zephyr RTOS, kā arī vairāki ar Mozilla saistīti pakalpojumi.
Visizplatītākā ietekme ir pilnīgs pakalpojuma atteikums, bet Nopietnākos gadījumos serveri avarē atmiņas trūkuma dēļ (OOM). Tas ir atkarīgs no tādiem faktoriem kā aparatūras jauda, uzbrucēja ātrums un uzbrukuma resursa veids.
Pat ja pieprasījumiem nav nepieciešama intensīva apstrāde servera aizmugurē, nepārtraukta plūsmu izveide un iznīcināšana (kadru parsēšana, HPACK saspiešana, stāvokļa uzturēšana) rada pietiekami daudz papildu resursu, lai nopietni pasliktinātu veiktspēju.
No Rapid Reset līdz MadeYouReset
Neaizsargātība 2023. gada ātrā atiestatīšana jau bija parādījusi, cik grūti ir nodrošināt HTTP/2 drošību. pret vienlaicīguma ļaunprātīgu izmantošanu. Šajā gadījumā uzbrukums izpaudās kā pieprasījumu atvēršana un atcelšana lielā ātrumā. Īstenotais mazināšanas pasākums bija samērā vienkāršs: ierobežot atļauto atcelšanu skaitu katram klientam.
Tomēr MadeYouReset izvairās no šīs aizsardzības. Tā kā atiestatīšanu neaktivizē klients, bet gan pats serveris pēc neatbilstību noteikšanas vadības kadros, klienta atcelšanai piemērotie ierobežojumi kļūst nelietderīgi. Tas padara MadeYouReset par daudz grūtāk apturamu apdraudējumu.
Sekas tīmeklim un nākamie soļi
Atklājuma autori brīdina, ka HTTP/2 asimetriskais raksturs padara šo ievainojamību par milzīgu destruktīvu potenciālu. Uzbrucējs ar minimāliem resursiem var apturēt kritiski svarīgu pakalpojumu sniegšanu. izmantojot dizainu, kas parasti uzlabo mūsdienu tīmekļa efektivitāti un ātrumu.
Kaut gan Dažas platformas, piemēram, Apache httpd, HAProxy, Node.js vai LiteSpeed, netiek ietekmētas. Neaizsargāto projektu saraksts ir plašs un apdraud lielu daļu interneta infrastruktūras. Nginx statuss vēl nav skaidri definēts.
Pētījumi turpinās, un pārdevēji strādā pie konkrētiem risinājumiem problēmu risināšanai. Tikmēr MadeYouReset uzsver trauslo līdzsvaru starp veiktspēju un drošību tīkla komunikācijas protokolos.
Fuente: https://galbarnahum.com