Várias implementações do HTTP/2 foram identificadas como susceptíveis a uma nova técnica de ataque chamada MadeYouReset, que pode ser explorada para conduzir ataques de negação de serviço (DoS) poderosos.
"MadeYouReset contorna o limite típico imposto pelo servidor de 100 requisições HTTP/2 concurrentes por conexão TCP de um cliente.
Este limite visa mitigar ataques DoS restringindo o número de solicitações simultâneas que um cliente pode enviar", disseram os pesquisadores Gal Bar Nahum, Anat Bremler-Barr e Yaniv Harel.
Com MadeYouReset, um atacante pode enviar milhares de solicitações, criando uma condição de negação de serviço para usuários legítimos e, em algumas implementações de fornecedores, escalando para crashes devido à falta de memória.
A vulnerabilidade foi designada com o identificador CVE genérico,
CVE-2025-8671
, embora o problema impacte vários produtos, incluindo Apache Tomcat (
CVE-2025-48989
), F5 BIG-IP (
CVE-2025-54500
) e Netty (
CVE-2025-55163
).
MadeYouReset é a falha mais recente no HTTP/2 após o Rapid Reset (
CVE-2023-44487
) e o ataque de Flood com frames CONTINUATION no HTTP/2 que podem ser potencialmente utilizados para realizar ataques DoS em grande escala.
Da mesma forma que os outros dois ataques exploram o frame RST_STREAM e os frames CONTINUATION, respectivamente, no protocolo HTTP/2 para realizar o ataque, MadeYouReset se baseia no Rapid Reset e sua mitigação, que limita o número de streams que um cliente pode cancelar usando RST_STREAM.
Especificamente, aproveita o fato de que o frame RST_STREAM é usado tanto para cancelamento iniciado pelo cliente quanto para sinalizar erros de stream.
Isso é alcançado enviando frames cuidadosamente elaborados que provocam violações de protocolo de maneiras inesperadas, levando o servidor a resetar o stream emitindo um RST_STREAM.
"Para que o MadeYouReset funcione, o stream deve começar com uma solicitação válida em que o servidor começa a trabalhar, em seguida, desencadear um erro de stream para que o servidor emita um RST_STREAM enquanto o backend continua processando a resposta", explicou Bar Nahum.
Ao criar certos frames de controle inválidos ou violar a sequência de protocolo no momento exato, podemos fazer o servidor enviar RST_STREAM para um stream que já carregava uma solicitação válida.
Os seis primitivos que fazem o servidor enviar frames RST_STREAM incluem -
- Frame WINDOW_UPDATE com um incremento de 0
- Frame PRIORITY cujo comprimento não seja 5 (o único comprimento válido para ele)
- Frame PRIORITY que faz com que um stream dependa dele mesmo
- Frame WINDOW_UPDATE com um incremento que faz com que a janela exceda 2^31 − 1 (que é o maior tamanho de janela permitido)
- Frame HEADERS enviado após o cliente ter fechado o stream (através do flag END_STREAM)
- Frame DATA enviado após o cliente ter fechado o stream (através do flag END_STREAM)
Este ataque é notável não apenas porque elimina a necessidade de um atacante enviar um frame RST_STREAM, contornando completamente as mitigações do Rapid Reset, mas também alcança o mesmo impacto que este último.
Em um aviso, o Centro de Coordenação CERT (CERT/CC) disse que o MadeYouReset explora uma incompatibilidade causada pelos resets de stream entre as especificações do HTTP/2 e as arquiteturas internas de muitos servidores web reais, resultando em esgotamento de recursos - algo que um atacante pode explorar para induzir um ataque DoS.
"A descoberta de vulnerabilidades Rapid Reset desencadeadas pelo servidor destaca a complexidade evolutiva do abuso de protocolos modernos", disse a Imperva.
"Como o HTTP/2 continua sendo a base da infraestrutura da web, protegê-lo contra ataques sutis e compatíveis com a especificação, como o MadeYouReset, é mais crítico do que nunca." HTTP/1.1 Deve Morrer A divulgação do MadeYouReset ocorre enquanto a firma de segurança de aplicações PortSwigger detalhou novos ataques de desincronização do HTTP/1.1 (também conhecidos como contrabando de solicitações HTTP), incluindo uma variante chamada 0.CL, expondo milhões de websites a uma tomada hostil.
Akamai (
CVE-2025-32094
) e Cloudflare (
CVE-2025-4366
) abordaram os problemas.
Contrabando de solicitações HTTP é um exploit de segurança que afeta o protocolo da camada de aplicação, abusando da inconsistência na análise de solicitações HTTP não conformes com o RFC por servidores front-end e back-end, permitindo a um atacante "contrabandear" uma solicitação e burlar medidas de segurança.
"HTTP/1.1 tem um defeito fatal: Atacantes podem criar uma ambiguidade extrema sobre onde um pedido termina e o seguinte começa", disse James Kettle da PortSwigger.
"HTTP/2+ elimina essa ambiguidade, tornando ataques de desincronização praticamente impossíveis.
No entanto, simplesmente habilitar HTTP/2 em seu servidor de borda é insuficiente - ele deve ser usado para a conexão ascendente entre o seu proxy reverso e o servidor de origem."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...