Se han incompatible múltiples implementaciones HTTP/2 susceptibles a una nueva técnica de ataque convocatoria MadeYoureset que podría explorarse para realizar poderosos ataques de denegación de servicio (DOS).
“MadeYoureset omite el remate distintivo impuesto al servidor de 100 solicitudes HTTP/2 concurrentes por conexión TCP de un cliente. Este remate está destinado a mitigar los ataques de DOS restringiendo el número de solicitudes simultáneas que un cliente puede remitir”, los investigadores Gal Bar Nahum, Anat Bremler-Barr y Yaniv Harel.
“Con MadeYoureset, un atacante puede remitir miles de solicitudes, creando una condición de denegación de servicio para usuarios legítimos y, en algunas implementaciones de proveedores, se convierte en bloqueos fuera de memoria”.
A la vulnerabilidad se le ha asignado al identificador CVE genérico, CVE-2025-8671, aunque el problema afecta a varios productos, incluidos Apache Tomcat (CVE-2025-48989), F5 Big-IP (CVE-2025-54500) y Netty (CVE-2025-55163).
MadeYoureset es el final defecto en HTTP/2 posteriormente de un restablecimiento rápido (CVE-2023-444487) y la inundación de continuación HTTP/2 que puede ser potencialmente armada para organizar ataques DOS a gran escalera.
Al igual que los otros dos ataques aprovechan el ámbito RST_STREAM y los marcos de continuación, respectivamente, en el protocolo HTTP/2 para conseguir el ataque, MadeYoureset se basamento en un reinicio rápido y su mitigación, lo que limita el número de flujos que un cliente puede anular usando RST_STREAM.
Específicamente, aprovecha el hecho de que el ámbito RST_STREAM se usa tanto para la revocación iniciada por el cliente como para los errores de flujo de señalización. Esto se logra enviando marcos cuidadosamente elaborados que desencadenan violaciones de protocolo de forma inesperada, lo que lleva al servidor a restablecer la transmisión emitiendo un RST_STREAM.
“Para que MadeYoureset funcione, la transmisión debe comenzar con una solicitud válida en la que el servidor comience a trabajar, luego activar un error de transmisión para que el servidor emita RST_STREAM mientras el backend continúa calculando la respuesta”, explicó Bar Nahum.
“Al elaborar ciertos marcos de control no válidos o violar la secuenciación del protocolo en el momento adaptado, podemos hacer que el servidor envíe rst_stream para una secuencia que ya tenía una solicitud válida”.
Las seis primitivas que hacen que el servidor envíe los marcos rst_stream incluyen –
- Window_update Frame con un incremento de 0
- Entorno de prioridad cuya distancia no es 5 (la única distancia válida para él)
- Entorno prioritario que hace que una corriente dependa de sí misma
- Window_update Frame con un incremento que hace que la ventana exceda 2^31 – 1 (que es el tamaño de ventana más alto permitido)
- Entorno de encabezados enviado posteriormente de que el cliente haya cerrado la transmisión (a través de la bandera end_stream)
- Entorno de datos enviado posteriormente de que el cliente haya cerrado la secuencia (a través del indicador End_stream)
Este ataque es importante, no menos importante porque obvia la exigencia de que un atacante envíe un ámbito RST_STREAM, pasando por completo las mitigaciones de reinicio rápido y además logra el mismo impacto que este final.
En un aviso, el Centro de Coordinación CERT (CERT/CC) dijo que MadeYoureset explota un desajuste causado por los restos de flujo entre las especificaciones HTTP/2 y las arquitecturas internas de muchos servidores web del mundo existente, lo que resulta en el agotamiento de los bienes, poco que un atacante puede explotar para inducir un ataque DOS.
“El descubrimiento de las vulnerabilidades de reinicio rápido desencadenado por el servidor resalta la complejidad evolutiva del exceso nuevo de protocolo”, dijo Imperva. “Como HTTP/2 sigue siendo una colchoneta de la infraestructura web, protegiéndola contra ataques sutiles y compatibles con especificaciones como MadeYoureset es más crítico que nunca”.
Http/1.1 debe expirar
La divulgación de MadeYoureset se produce cuando la firma de seguridad de aplicaciones Portswigger detalló nuevos ataques HTTP/1.1 Desync (además conocidos como contrabando de solicitudes HTTP), incluida una reforma de Cl.0 convocatoria 0.Cl, que expone millones de sitios web a la adquisición hostil. Akamai (CVE-2025-32094) y Cloudflare (CVE-2025-4366) han abordado los problemas.
El contrabando de solicitudes HTTP es una explotación de seguridad que afecta el protocolo de la capa de aplicación que abusa de la inconsistencia en el prospección de las solicitudes HTTP que no cumplen con RFC por los servidores front-end y de fondo, lo que permite a un atacante “acaecer de contrarrestar” una solicitud y medidas de seguridad de banda.
“HTTP/1.1 tiene un defecto nefasto: los atacantes pueden crear una anfibología extrema sobre dónde termina una solicitud, y la subsiguiente solicitud comienza”, dijo James Kettle de Portswigger. “HTTP/2+ elimina esta anfibología, haciendo que los ataques de desync sea prácticamente increíble. Sin confiscación, simplemente habilitar HTTP/2 en su servidor Edge es insuficiente; debe estar de moda para la conexión aguas hacia lo alto entre su proxy inverso y servidor de origen”.
