Aug 14, 2025Rravie Lakshmananserver Security / Vulnerabilidad múltiples implementaciones HTTP / 2 se han encontrado susceptibles a una nueva técnica de ataque llamada MadeYoureset que podría explorarse para realizar poderosos ataques de negación de servicio (DOS). «MadeYoureset omite el límite típico impuesto al servidor de 100 solicitudes HTTP/2 concurrentes por conexión TCP de un cliente. Este límite está destinado a mitigar los ataques de DOS restringiendo el número de solicitudes simultáneas que un cliente puede enviar», los investigadores Gal Bar Nahum, Anat Bremler-Barr y Yaniv Harel. «Con MadeYoureset, un atacante puede enviar miles de solicitudes, creando una condición de denegación de servicio para usuarios legítimos y, en algunas implementaciones de proveedores, se convierte en bloqueos fuera de memoria». A la vulnerabilidad se le ha asignado el identificador CVE genérico, CVE-2025-8671, aunque el problema afecta a varios productos, incluidos Apache Tomcat (CVE-2025-48989), F5 Big-IP (CVE-2025-54500) y Netty (CVE-2025-55163). MadeYoureset es el último defecto en HTTP/2 después de un restablecimiento rápido (CVE-2023-444487) y la inundación de continuación HTTP/2 que puede ser potencialmente armada para organizar ataques DOS a gran escala. Al igual que los otros dos ataques aprovechan el marco RST_STREAM y los marcos de continuación, respectivamente, en el protocolo HTTP/2 para lograr el ataque, MadeYoureset se basa en un reinicio rápido y su mitigación, lo que limita el número de flujos que un cliente puede cancelar usando RST_STREAM. Específicamente, aprovecha el hecho de que el marco RST_STREAM se usa tanto para la cancelación iniciada por el cliente como para los errores de flujo de señalización. Esto se logra enviando marcos cuidadosamente elaborados que desencadenan violaciones de protocolo de manera inesperada, lo que lleva al servidor a restablecer la transmisión emitiendo un RST_STREAM. «Para que MadeYoureset funcione, la transmisión debe comenzar con una solicitud válida en la que el servidor comience a trabajar, luego activar un error de transmisión para que el servidor emita RST_STREAM mientras el backend continúa calculando la respuesta», explicó Bar Nahum. «Al elaborar ciertos marcos de control no válidos o violar la secuenciación del protocolo en el momento justo, podemos hacer que el servidor envíe rst_stream para una secuencia que ya tenía una solicitud válida». Las seis primitivas que hacen que el servidor envíe los marcos rst_stream incluyen – window_update marco con un incremento del marco de 0prioridad cuya longitud no es 5 (la única longitud válida para él) marco de prioridad que hace que un flujo dependiente de sí mismo sea un marco de secuencia de flujo en sí mismo con el marco de la ventana de la ventana que se envía en sí mismo después del cliente ha cerrado el stream (el stream de la ventana). El cliente ha cerrado la transmisión (a través del indicador End_Stream) Este ataque es notable no menos importante porque obvia la necesidad de que un atacante envíe un marco RST_STREAM, sin pasar por completo las mitigaciones de reinicio rápido, y también logra el mismo impacto que este último. En un aviso, el Centro de Coordinación CERT (CERT/CC) dijo que MadeYoureset explota un desajuste causado por los restos de flujo entre las especificaciones HTTP/2 y las arquitecturas internas de muchos servidores web del mundo real, lo que resulta en el agotamiento de los recursos, algo que un atacante puede explotar para inducir un ataque DOS. «El descubrimiento de las vulnerabilidades de reinicio rápido desencadenado por el servidor resalta la complejidad evolutiva del abuso moderno de protocolo», dijo Imperva. «Como HTTP/2 sigue siendo una base de la infraestructura web, protegiéndola contra ataques sutiles y compatibles con especificaciones como MadeYoureset es más crítico que nunca». HTTP/1.1 debe morir La divulgación de MadeYoureset viene cuando la firma de seguridad de aplicaciones Portswigger detalló novedosos ataques HTTP/1.1 Desync (también conocido como contrabando de solicitudes HTTP), incluida una variante de Cl.0 llamada 0.CL, exponiendo millones de sitios web a la adquisición hostil. Akamai (CVE-2025-32094) y Cloudflare (CVE-2025-4366) han abordado los problemas. El contrabando de solicitudes HTTP es una explotación de seguridad que afecta el protocolo de la capa de aplicación que abusa de la inconsistencia en el análisis de las solicitudes HTTP que no cumplen con RFC por los servidores front-end y de fondo, lo que permite a un atacante «pasar de contrarrestar» una solicitud y medidas de seguridad de lado. «HTTP/1.1 tiene un defecto fatal: los atacantes pueden crear una ambigüedad extrema sobre dónde termina una solicitud, y la siguiente solicitud comienza», dijo James Kettle de Portswigger. «HTTP/2+ elimina esta ambigüedad, haciendo que los ataques de desync sea prácticamente imposible. Sin embargo, simplemente habilitar HTTP/2 en su servidor Edge es insuficiente; debe usarse para la conexión aguas arriba entre su proxy inverso y servidor de origen».