Недавно Информация о критической уязвимости была раскрыта в протокол HTTP/2, названный как MadeYouReset (CVE-2025-8671). Это метод, который позволяет злоумышленникам упростить атаки типа «отказ в обслуживании» (DoS), истощение ресурсов сервера путем манипулирования управляющими кадрами.
Что делает этот дефект особенно опасным, так это то, что удается обойти механизм безопасности, интегрированный в HTTP/2 Параметр MAX_CONCURRENT_STREAMS предназначен для ограничения количества одновременных запросов, которые может обработать клиент. С MadeYouReset этот барьер исчезает, и сервер остаётся беззащитным перед практически неограниченным потоком запросов.
Уязвимость Это эволюция хорошо известной атаки Быстрая перезагрузка 2023 года, хотя она и вносит неожиданный поворот: Вместо того, чтобы клиент отменял запрос, теперь это делает сам сервер. который по ошибке перезапускает поток, создавая тот же разрушительный эффект с минимальной нагрузкой для злоумышленника.
Как работает MadeYouReset
Чтобы понять эту угрозу, важно вспомнить, как работает HTTP/2. Этот протокол организует коммуникацию в виде потоков, каждый из которых состоит из запросов и ответов. Для поддержания баланса существует ограничение, которое не позволяет клиенту перегружать сервер слишком большим количеством активных запросов. Однако MadeYouReset использует лазейку в реализации: pПозволяет инициировать допустимый запрос, а затем заставить сервер сгенерировать ошибку в последовательности кадров.
Эта ошибка запускает RST_STREAM, который теоретически должен остановить обработкуОднако во многих реализациях HTTP/2 сервер продолжает выполнять запрос в фоновом режиме, потребляя ценные ресурсы ЦП и памяти, даже если поток уже считается закрытым.
Таким образом, злоумышленник может повторять этот процесс бесконечно., отправляя минимальные запросы, не требующие больших усилий, в то время как сервер вынужден вкладывать огромное количество ресурсов в их обслуживание.
Влияние на серверы и приложения
Масштаб MadeYouReset значителен. Среди подтверждённых уязвимостей — Apache Tomcat, Netty, Eclipse Jetty, Fastly, Varnish, Lighttpd, h2o, Pingora, BIND (в его реализации DNS через HTTPS) и Zephyr RTOS, а также несколько сервисов, связанных с Mozilla.
Наиболее распространенным эффектом является полный отказ в обслуживании, но В более серьезных случаях серверы выходят из строя из-за нехватки памяти (OOM). Это зависит от таких факторов, как мощность оборудования, скорость злоумышленника и тип атакуемого ресурса.
Даже когда запросы не требуют интенсивной обработки на бэкэнде, постоянное создание и уничтожение потоков (анализ кадров, сжатие HPACK, поддержание состояния) генерирует достаточно накладных расходов, чтобы серьезно снизить производительность.
От быстрого сброса к MadeYouReset
Уязвимость Rapid Reset 2023 уже продемонстрировал, насколько сложно обеспечить безопасность HTTP/2. против злоупотребления параллельными запросами. В данном случае атака заключалась в открытии и отмене запросов на высокой скорости. Реализованное решение было относительно простым: ограничение количества отмен на одного клиента.
Однако MadeYouReset обходит эту защиту. Поскольку сброс инициируется не клиентом, а самим сервером после обнаружения несоответствий в управляющих кадрах, ограничения, применяемые к отменам со стороны клиента, становятся бесполезными. Это значительно усложняет предотвращение атаки MadeYouReset.
Последствия для Интернета и дальнейшие шаги
Исследователи, стоящие за этим открытием, предупреждают, что асимметричная природа HTTP/2 делает эту уязвимость имеющей огромный разрушительный потенциал. Злоумышленник с минимальными ресурсами может вывести из строя критически важные службы, использование преимуществ дизайна, который обычно способствует эффективности и скорости современного Интернета.
Хотя Некоторые платформы, такие как Apache httpd, HAProxy, Node.js или LiteSpeed, не подвержены влиянию. Список уязвимых проектов обширен и ставит под угрозу значительную часть инфраструктуры интернета. Статус Nginx пока не определён.
Исследования продолжаются, и поставщики работают над конкретными мерами по снижению рисков. Тем временем, MadeYouReset подчёркивает хрупкий баланс между производительностью и безопасностью в сетевых протоколах связи.
источник: https://galbarnahum.com