Изследователи от Университета в Тел Авив разкриха сериозен пропуск в протокола HTTP/2 – основния механизъм, който движи съвременния интернет. Уязвимостта, получила идентификатор CVE-2025-8671 и оценка 7.5 от 10 по скалата за тежест, дава възможност на атакуващите да изпращат неограничен брой заявки през всеки компрометиран бот, изчерпвайки ресурсите на сървърите и причинявайки отказ на услугата (DoS).

Новата заплаха е наречена MadeYouReset и се явява еволюция на добре познатата уязвимост Rapid Reset, която от 2023 г. насам стои зад едни от най-големите DDoS атаки в историята. Докато при Rapid Reset атакуващите сами анулират заявките, при MadeYouReset те успяват да накарат самия сървър да анулира обработвани заявки, заобикаляйки стандартните защити.

Как работи атаката

HTTP/2 разполага с вграден механизъм за ограничаване на броя паралелно обработвани заявки от един клиент – MAX_CONCURRENT_STREAMS, който по подразбиране е 100. При стандартната работа отменените заявки не се броят към този лимит, което беше експлоатирано при Rapid Reset чрез масово изпращане и анулиране на заявки.

При MadeYouReset обаче методът е по-изтънчен – атакуващият изпраща невалидни контролни пакети или нарушава реда на протоколните съобщения в точния момент, за да принуди сървъра да прекъсне вече валидни заявки. Така се заобикаля лимитът, без да се изпраща нито една RST_STREAM команда от клиента, докато бекенд системите продължават да обработват „прекратените“ заявки.

В резултат на това се отваря възможност за безкраен брой паралелни заявки, които могат да претоварят изчислителните ресурси, мрежовата пропускателна способност и паметта на сървъра.

Засегнати системи и реален риск

Тестовете показват, че повечето HTTP/2 сървъри са уязвими на пълен отказ на услугата, а значителна част – и на срив поради изчерпване на паметта (Out-of-Memory). Сред засегнатите решения са Netty, Jetty, Apache Tomcat и други широко използвани уеб технологии.

Дори мощни сървъри могат да бъдат компрометирани от сравнително слаби атакуващи, поради асиметрията между бързината на изпращане на заявки и сложността на тяхната обработка.

Пачове и временни мерки

Изследователите са уведомили производителите предварително, а редица доставчици вече пуснаха обновления:

• SUSE – корекции в upstream проекти и пачове за версиите, включени в продуктите им.

• Varnish Cache – обновления за версии 5.x–7.7.1; препоръчва се временно изключване на HTTP/2 при невъзможност за ъпгрейд.

• Fastly – глобално внедрен фикc по цялата им мрежа още на 2 юни.

• Netty – издаденa версия 4.2.4.Final с поправка.

• Apache Tomcat – проблемът е отстранен в последен комит, но Red Hat предупреждава, че все още няма стабилно и приложимо временно решение.

Експертите съветват администраторите незабавно да проверят своите системи, да инсталират наличните пачове и при нужда временно да ограничат или изключат HTTP/2, докато се уверят, че използваната имплементация е защитена.