Hace poco se dio a conocer informaciĆ³n sobre una vulnerabilidad crĆtica en el protocolo HTTP/2, bautizada como MadeYouReset (CVE-2025-8671). Se trata de una tĆ©cnica que permite a los atacantes simplificar los ataques de denegaciĆ³n de servicio (DoS), agotando los recursos de los servidores mediante la manipulaciĆ³n de tramas de control.
Lo que hace especialmente peligrosa esta falla es que logra evadir el mecanismo de seguridad integrado en HTTP/2 conocido como MAX_CONCURRENT_STREAMS, diseƱado para limitar el nĆŗmero de solicitudes concurrentes que un cliente puede mantener. Con MadeYouReset, esa barrera desaparece, dejando al servidor expuesto a una avalancha prĆ”cticamente ilimitada de peticiones.
La vulnerabilidad es una evoluciĆ³n del conocido ataque Rapid Reset de 2023, aunque introduce un giro inesperado: en lugar de que sea el cliente quien cancele la solicitud, ahora es el propio servidor el que, por error, reinicia el flujo, generando el mismo impacto devastador con una carga mĆnima para el atacante.
CĆ³mo funciona MadeYouReset
Para comprender esta amenaza, es importante recordar cĆ³mo opera HTTP/2. Este protocolo organiza la comunicaciĆ³n en flujos, cada uno compuesto por solicitudes y respuestas. Para mantener el equilibrio, existe un lĆmite que evita que un cliente inunde a un servidor con demasiadas solicitudes activas. Sin embargo, MadeYouReset aprovecha una grieta en la implementaciĆ³n: permite iniciar una solicitud vĆ”lida y luego forzar que el servidor genere un error en la secuencia de tramas.
Ese error desencadena un RST_STREAM, lo que en teorĆa deberĆa detener el procesamiento. No obstante, en muchas implementaciones de HTTP/2, el servidor continĆŗa ejecutando la solicitud en segundo plano, consumiendo recursos valiosos de CPU y memoria, aunque el flujo ya se considere cerrado.
De esta forma, el atacante puede repetir el proceso indefinidamente, enviando peticiones mĆnimas que apenas le cuestan esfuerzo, mientras el servidor se ve obligado a invertir una enorme cantidad de recursos en atenderlas.
Impacto en servidores y aplicaciones
El alcance de MadeYouReset es considerable. Entre los sistemas confirmados como vulnerables se encuentran Apache Tomcat, Netty, Eclipse Jetty, Fastly, varnish, lighttpd, h2o, pingora, BIND (en su implementaciĆ³n de DNS sobre HTTPS) y Zephyr RTOS, ademĆ”s de varios servicios vinculados a Mozilla.
El efecto mĆ”s comĆŗn es una denegaciĆ³n total del servicio, pero en casos mĆ”s graves los servidores colapsan por falta de memoria (OOM). Esto depende de factores como la capacidad de hardware, la velocidad del atacante y el tipo de recurso atacado.
Incluso cuando las solicitudes no llegan a ejecutar un proceso intensivo en el backend, la constante creaciĆ³n y destrucciĆ³n de flujos (anĆ”lisis de tramas, compresiĆ³n HPACK, mantenimiento de estados) genera suficiente sobrecarga para degradar seriamente el rendimiento.
De Rapid Reset a MadeYouReset
La vulnerabilidad Rapid Reset de 2023 ya habĆa demostrado lo difĆcil que resulta proteger HTTP/2 frente a abusos de concurrencia. En aquel caso, el ataque consistĆa en abrir y cancelar solicitudes a gran velocidad. La mitigaciĆ³n implementada fue relativamente sencilla: limitar el nĆŗmero de cancelaciones permitidas por cliente.
MadeYouReset, sin embargo, evita esta defensa. Como el reinicio no lo provoca el cliente, sino el propio servidor tras detectar inconsistencias en las tramas de control, las limitaciones aplicadas a las cancelaciones del cliente quedan inĆŗtiles. Esto convierte a MadeYouReset en una amenaza mucho mĆ”s difĆcil de frenar.
Consecuencias para la web y prĆ³ximos pasos
Los investigadores detrĆ”s del hallazgo advierten que la naturaleza asimĆ©trica de HTTP/2 hace que esta vulnerabilidad tenga un enorme potencial destructivo. Un atacante con recursos mĆnimos puede derribar servicios crĆticos, aprovechando un diseƱo que en condiciones normales beneficia la eficiencia y velocidad de la web moderna.
Aunque algunas plataformas como Apache httpd, HAProxy, Node.js o LiteSpeed no se ven afectadas, la lista de proyectos vulnerables es extensa y compromete una gran parte de la infraestructura de internet. El estado de nginx aĆŗn no se ha definido con claridad.
Las investigaciones continĆŗan y los proveedores trabajan en mitigaciones especĆficas. Mientras tanto, MadeYouReset deja en evidencia la fragilidad del equilibrio entre rendimiento y seguridad en los protocolos de comunicaciĆ³n de la red.
Fuente: https://galbarnahum.com