Faz pouco Informações sobre uma vulnerabilidade crítica foram divulgadas em o protocolo HTTP/2, denominado como MadeYouReset (CVE-2025-8671). Esta é uma técnica que permite que os invasores simplifiquem os ataques de negação de serviço (DoS), esgotando os recursos do servidor ao manipular quadros de controle.
O que torna esta falha especialmente perigosa é que consegue escapar do mecanismo de segurança integrado ao HTTP/2 conhecido como MAX_CONCURRENT_STREAMS, projetado para limitar o número de requisições simultâneas que um cliente pode suportar. Com o MadeYouReset, essa barreira desaparece, deixando o servidor exposto a uma avalanche praticamente ilimitada de requisições.
Vulnerabilidade É uma evolução do conhecido ataque Reinicialização rápida de 2023, embora introduza uma reviravolta inesperada: Em vez de o cliente cancelar a solicitação, agora é o próprio servidor. que, por engano, reinicia o fluxo, gerando o mesmo impacto devastador com carga mínima para o atacante.
Como funciona o MadeYouReset
Para entender essa ameaça, é importante lembrar como o HTTP/2 funciona. Este protocolo organiza a comunicação em fluxos, cada um composto por requisições e respostas. Para manter o equilíbrio, há um limite que impede que um cliente sobrecarregue um servidor com muitas requisições ativas. No entanto, MadeYouReset explora uma lacuna na implementação: pPermite que você inicie uma solicitação válida e então force o servidor a gerar um erro na sequência de quadros.
Esse erro aciona um RST_STREAM, que em teoria deveria parar o processamentoEntretanto, em muitas implementações de HTTP/2, o servidor continua executando a solicitação em segundo plano, consumindo recursos valiosos de CPU e memória, mesmo que o fluxo já seja considerado fechado.
Dessa forma, o invasor pode repetir o processo indefinidamente., enviando requisições mínimas que dificilmente custam algum esforço, enquanto o servidor é forçado a investir uma quantidade enorme de recursos para atendê-las.
Impacto em servidores e aplicativos
O escopo do MadeYouReset é considerável. Entre os sistemas confirmados como vulneráveis estão Apache Tomcat, Netty, Eclipse Jetty, Fastly, Varnish, Lighttpd, h2o, Pingora, BIND (em sua implementação de DNS sobre HTTPS) e Zephyr RTOS, além de vários serviços vinculados à Mozilla.
O efeito mais comum é uma negação total de serviço, mas Em casos mais graves, os servidores travam por falta de memória (OOM). Isso depende de fatores como capacidade do hardware, velocidade do invasor e tipo de recurso que está sendo atacado.
Mesmo quando as solicitações não exigem processamento intensivo no backend, a criação e destruição constantes de fluxos (análise de quadros, compactação HPACK, manutenção de estado) geram sobrecarga suficiente para degradar seriamente o desempenho.
Do Rapid Reset ao MadeYouReset
Vulnerabilidade O Rapid Reset de 2023 já demonstrou o quão difícil é proteger o HTTP/2. contra abuso de concorrência. Nesse caso, o ataque consistia em abrir e cancelar requisições em alta velocidade. A mitigação implementada foi relativamente simples: limitar o número de cancelamentos permitidos por cliente.
O MadeYouReset, no entanto, evita essa defesa. Como a redefinição não é acionada pelo cliente, mas pelo próprio servidor após a detecção de inconsistências nos quadros de controle, as limitações aplicadas aos cancelamentos do cliente tornam-se inúteis. Isso torna o MadeYouReset uma ameaça muito mais difícil de ser interrompida.
Consequências para a web e próximos passos
Os pesquisadores por trás da descoberta alertam que a natureza assimétrica do HTTP/2 faz com que essa vulnerabilidade tenha um enorme potencial destrutivo. Um invasor com recursos mínimos pode derrubar serviços críticos, aproveitando um design que normalmente beneficia a eficiência e a velocidade da web moderna.
Embora Algumas plataformas como Apache httpd, HAProxy, Node.js ou LiteSpeed não são afetadas, A lista de projetos vulneráveis é extensa e compromete grande parte da infraestrutura da internet. O status do Nginx ainda não foi claramente definido.
A pesquisa continua e os fornecedores estão trabalhando em mitigações específicas. Enquanto isso, a MadeYouReset destaca o frágil equilíbrio entre desempenho e segurança nos protocolos de comunicação de rede.
fonte: https://galbarnahum.com