kohët e fundit Informacioni rreth një dobësie kritike u zbulua në protokolli HTTP/2, i quajtur si MadeYouReset (CVE-2025-8671). Kjo është një teknikë që u lejon sulmuesve të thjeshtojnë sulmet e mohimit të shërbimit (DoS), duke shterruar burimet e serverit duke manipuluar kornizat e kontrollit.
Ajo që e bën këtë defekt veçanërisht të rrezikshëm është se arrin të shmangë mekanizmin e sigurisë të integruar në HTTP/2 i njohur si MAX_CONCURRENT_STREAMS, i projektuar për të kufizuar numrin e kërkesave të njëkohshme që një klient mund të përballojë. Me MadeYouReset, kjo pengesë zhduket, duke e lënë serverin të ekspozuar ndaj një ortek kërkesash praktikisht të pakufizuar.
Prekshmëria Është një evolucion i sulmit të njohur Rivendosja e Shpejtë e vitit 2023, megjithëse sjell një kthesë të papritur: Në vend që klienti ta anulojë kërkesën, tani është vetë serveri. i cili, gabimisht, e rinis rrjedhën, duke gjeneruar të njëjtin ndikim shkatërrues me ngarkesë minimale për sulmuesin.
Si funksionon MadeYouReset
Për ta kuptuar këtë kërcënim, është e rëndësishme të kujtojmë se si funksionon HTTP/2. Ky protokoll organizon komunikimin në rrjedha, secila e përbërë nga kërkesa dhe përgjigje. Për të ruajtur ekuilibrin, ekziston një kufi që parandalon që një klient të përmbytë një server me shumë kërkesa aktive. Megjithatë, MadeYouReset shfrytëzon një boshllëk në zbatim: pJu lejon të filloni një kërkesë të vlefshme dhe më pas ta detyroni serverin të gjenerojë një gabim në sekuencën e kornizave.
Ai gabim shkakton një RST_STREAM, i cili në teori duhet të ndalojë përpuniminMegjithatë, në shumë implementime HTTP/2, serveri vazhdon të ekzekutojë kërkesën në sfond, duke konsumuar burime të vlefshme të CPU-së dhe memories, edhe pse transmetimi konsiderohet tashmë i mbyllur.
Në këtë mënyrë, sulmuesi mund ta përsërisë procesin pafundësisht., duke dërguar kërkesa minimale që mezi kushtojnë ndonjë përpjekje, ndërsa serveri detyrohet të investojë një sasi të madhe burimesh për t'i shërbyer ato.
Ndikimi në servera dhe aplikacione
Shtrirja e MadeYouReset është e konsiderueshme. Ndër sistemet e konfirmuara si të cenueshme janë Apache Tomcat, Netty, Eclipse Jetty, Fastly, Varnish, Lighttpd, h2o, Pingora, BIND (në implementimin e tij DNS mbi HTTPS) dhe Zephyr RTOS, përveç disa shërbimeve të lidhura me Mozilla-n.
Efekti më i zakonshëm është një mohim total i shërbimit, por Në raste më serioze, serverat rrëzohen për shkak të mungesës së kujtesës (OOM). Kjo varet nga faktorë të tillë si kapaciteti i harduerit, shpejtësia e sulmuesit dhe lloji i burimit që sulmohet.
Edhe kur kërkesat nuk kërkojnë përpunim intensiv në backend, krijimi dhe shkatërrimi i vazhdueshëm i rrjedhave (analizimi i kornizave, kompresimi HPACK, mirëmbajtja e gjendjes) gjeneron mjaftueshëm mbingarkesë për të degraduar seriozisht performancën.
Nga Rivendosja e Shpejtë te MadeYouReset
Prekshmëria Rivendosja e Shpejtë e vitit 2023 kishte treguar tashmë se sa e vështirë është të sigurohet HTTP/2. kundër abuzimit të njëkohshëm. Në atë rast, sulmi përbëhej nga hapja dhe anulimi i kërkesave me shpejtësi të lartë. Zbutja e zbatuar ishte relativisht e thjeshtë: kufizimi i numrit të anulimeve të lejuara për klient.
Megjithatë, MadeYouReset e shmang këtë mbrojtje. Meqenëse rivendosja nuk shkaktohet nga klienti, por nga vetë serveri pas zbulimit të mospërputhjeve në kornizat e kontrollit, kufizimet e aplikuara për anulimet e klientëve bëhen të padobishme. Kjo e bën MadeYouReset një kërcënim shumë më të vështirë për t'u ndaluar.
Pasojat për uebin dhe hapat e mëtejshëm
Studiuesit që qëndrojnë pas zbulimit paralajmërojnë se natyra asimetrike e HTTP/2 e bën këtë dobësi të ketë potencial të madh shkatërrues. Një sulmues me burime minimale mund të rrëzojë shërbimet kritike, duke përfituar nga një dizajn që normalisht përfiton efikasitetin dhe shpejtësinë e internetit modern.
Megjithëse Disa platforma si Apache httpd, HAProxy, Node.js ose LiteSpeed nuk preken, Lista e projekteve të cenueshme është e gjatë dhe kompromenton një pjesë të madhe të infrastrukturës së internetit. Statusi i Nginx ende nuk është përcaktuar qartë.
Hulumtimet vazhdojnë dhe shitësit po punojnë për zbutje specifike. Ndërkohë, MadeYouReset thekson ekuilibrin e brishtë midis performancës dhe sigurisë në protokollet e komunikimit të rrjetit.
Fuente: https://galbarnahum.com