Se sabe que múltiples implementaciones HTTP/2 son susceptibles a la nueva tecnología de ataque llamada Madyoureset, que puede investigarse para llevar a cabo poderosos ataques de denegación de servicio (DOS).
«MadYoureset omite un límite típico impuesto al servidor de 100 solicitudes HTTP/2 simultáneas por conexión TCP de un cliente. Este límite está destinado a mitigar los ataques de DOS al limitar el número de solicitudes concurrentes que un cliente puede enviar».
«Con Madyoureset, los atacantes pueden enviar miles de solicitudes, crear la denegación de condiciones de servicio para usuarios legales y, en algunas implementaciones de proveedores, pueden aumentar a bloqueos fuera de memoria».
A la vulnerabilidad se le ha asignado el identificador CVE genérico CVE-2025-8671, pero el problema afecta a varios productos, como Apache Tomcat (CVE-2025-48989), F5 Big-IP (CVE-2025-54500) y Netty (CVE-2025-55163).
Madyoureset es el último defecto en HTTP/2 después de un reinicio rápido (CVE-2023-444487) y la inundación continua de HTTP/2, y podría ser armado para establecer un ataque masivo de DOS.
Así como la forma en que otros dos ataques aprovechan los marcos RST_STREAM y de continuación, respectivamente, en el protocolo HTTP/2, para obtener ataques, MadeUoureset se basa en el reinicio rápido y su mitigación, lo que limita el número de transmisiones que los clientes pueden cancelar usando RST_STREAM.
Específicamente, aprovecha el hecho de que el marco RST_STREAM se usa tanto para la señal de cancelación como para la señal de error de flujo descubierta por el cliente. Esto se logra enviando marcos cuidadosamente elaborados que desencadenan violaciones de protocolo de manera inesperada y emitiendo RST_STREAM para solicitar al servidor que restablezca la secuencia.
«Para que MadYoureset funcione, la transmisión debe comenzar con una solicitud válida de que el servidor comience a funcionar. Luego desencadena un error de flujo para que el servidor emista rst_stream mientras el backend continúa calculando la respuesta», explicó Bar Nahum.
«Puede enviar rst_stream al servidor para transmisiones que ya publican solicitudes válidas creando un marco de control inválido específico o violando la secuencia de protocolo en el momento apropiado».
Contiene 6 primitivas que envían marcos RST_STREAM al servidor –
El marco Window_Update no es un marco de prioridad con incrementos de los marcos de 0rioridad que no son de longitud 5. Esto dará como resultado corrientes que dependen en el marco Window_Update con incrementos que la ventana excede 2^31-1 (el tamaño máximo de la ventana que permite el tamaño máximo de la ventana).
Este ataque es particularmente notable, ya que elimina la necesidad de que los atacantes envíen marcos RST_STREAM, pasando por completo la mitigación de reinicio rápido y logrando el mismo impacto que este último.
En el aviso, CERT Coordination Center (CERT/CC) establece que Madyoureset explota las inconsistencias causadas por los restos de flujo entre la especificación HTTP/2 y la arquitectura interna de muchos servidores web del mundo real, lo que resulta en el agotamiento de los recursos.
«El descubrimiento de las vulnerabilidades de reinicio rápido desencadenado por el servidor resalta la complejidad evolutiva del abuso moderno de protocolo», dijo Imperva. «Dado que HTTP/2 sigue siendo la base de la infraestructura web, proteger contra ataques sutiles y compatibles con especificaciones como Madyoureset es más importante que nunca».
http/1.1 debe morir
La divulgación de Madyoureset detallará el nuevo ataque detallado HTTP/1.1 Desync (también conocido como contrabando de solicitudes HTTP) de la compañía de seguridad de aplicaciones Portswigger, que expone millones de sitios web a adquisiciones hostiles, incluida una variante de CL.0 llamada 0.Cl. Akamai (CVE-2025-32094) y CloudFlare (CVE-2025-4366) abordan este problema.
El contrabando de solicitudes HTTP es una exploit de seguridad que afecta los protocolos de la capa de aplicación que abusan de las inconsistencias al analizar las solicitudes HTTP que no cumplen con RFC por servidores front-end y back-end, lo que permite a los atacantes «contrabandear» las solicitudes y las medidas de seguridad de los pasos laterales.
«HTTP/1.1 tiene un defecto fatal. Los atacantes pueden crear una ambigüedad extrema sobre dónde termina una solicitud, lo que permite que comience la próxima solicitud». «HTTP/2+ elimina esta ambigüedad y hace que los ataques de Desync sean prácticamente imposibles. Sin embargo, habilitar HTTP/2 en el servidor Edge no es suficiente. Debe usarse para el proxy inversa y las conexiones aguas arriba con el servidor de origen».
Source link
