Cybersecurity-Forscher haben eine kritische Sicherheitslücke in HTTP/2-Implementierungen identifiziert, die als MadeYouReset bezeichnet wird. Diese Schwachstelle ermöglicht es Angreifern, bestehende Schutzmaßnahmen zu umgehen und verheerende Distributed-Denial-of-Service-Angriffe (DDoS) gegen Web-Services und kritische Infrastrukturen durchzuführen.
Betroffene Systeme und CVE-Kennzeichnung
Die gemeinsame Forschungsarbeit von Imperva, Deepness Lab und der Universität Tel Aviv deckte auf, dass die Schwachstelle CVE-2025-8671 eine breite Palette von Produkten führender Technologieanbieter betrifft. Zusätzlich wurden mehrere herstellerspezifische CVE-Kennungen vergeben, die das Ausmaß der Bedrohung verdeutlichen.
Zu den betroffenen kritischen Internet-Infrastrukturkomponenten gehören Apache Tomcat (CVE-2025-48989), F5 BIG-IP (CVE-2025-54500) und Netty (CVE-2025-55163). Darüber hinaus sind Produkte von Vert.x, Varnish sowie Technologien von Mozilla, Wind River, Zephyr Project, Google, IBM und Microsoft betroffen.
Funktionsweise der MadeYouReset-Attacke
Die besondere Gefährlichkeit von MadeYouReset liegt in der Fähigkeit, etablierte HTTP/2-Sicherheitsmechanismen zu überwinden. Normalerweise begrenzt das HTTP/2-Protokoll die Anzahl gleichzeitiger Anfragen pro Client-TCP-Verbindung auf 100, um DoS-Angriffe zu verhindern. Die neue Schwachstelle ermöglicht es jedoch, Tausende von Anfragen zu senden und diese Beschränkungen zu überschreiten.
Der Angriff basiert auf der bereits bekannten Rapid-Reset-Technik und nutzt spezifische Eigenschaften der RST_STREAM-Frame-Verarbeitung im HTTP/2-Protokoll aus. Die entscheidende Innovation besteht darin, dass RST_STREAM-Frames sowohl für die clientseitige Anfragenstornierung als auch für Stream-Fehlerbenachrichtigungen verwendet werden.
Exploit-Mechanismus im Detail
MadeYouReset funktioniert durch das Senden speziell konstruierter Frames, die unerwartete Protokollverletzungen provozieren. Der Angriffsprozess beginnt mit einer gültigen Anfrage, die der Server zu verarbeiten beginnt. Anschließend wird künstlich ein Fehler erzeugt, der den Server dazu zwingt, RST_STREAM zum Zurücksetzen des Streams zu verwenden.
Durch die Erzeugung bestimmter ungültiger Kontroll-Frames oder die Störung der Protokollabläufe zu kritischen Zeitpunkten können Angreifer den Server dazu bringen, RST_STREAM auf einen Stream mit bereits gültiger Anfrage anzuwenden. Dies umgeht vollständig bestehende Schutzmaßnahmen gegen Rapid-Reset-Angriffe.
Abgrenzung zu bisherigen Angriffsvektoren
MadeYouReset stellt eine Weiterentwicklung der HTTP/2-Angriffstechniken dar und folgt auf Rapid Reset und Continuation Flood. Diese Vorgänger etablierten 2023 neue Rekorde bei Zero-Day-DDoS-Angriffen hinsichtlich der Anfragen pro Sekunde (RPS). Die neue Schwachstelle übertrifft sie jedoch in ihrer Heimtücke, da sie regulären Netzwerkverkehr imitiert und dadurch die Erkennung erheblich erschwert.
Effektive Schutzmaßnahmen und Gegenstrategien
Sicherheitsexperten empfehlen einen mehrstufigen Ansatz zur Abwehr von MadeYouReset-Angriffen. Prioritäre Maßnahmen umfassen die Implementierung strengerer Protokollvalidierung und die Einführung verbesserter Stream-Zustandsüberwachung zur Ablehnung ungültiger Übergänge.
Zusätzlich sollten verbindungsbasierte Ratenbegrenzungen implementiert und Anomalie-Erkennungssysteme mit verhaltensbasiertem Monitoring eingesetzt werden. Dieser vielschichtige Sicherheitsansatz ermöglicht die Identifizierung verdächtiger Aktivitäten, selbst wenn Angreifertraffic als legitime Anfragen getarnt wird.
Die Entdeckung von MadeYouReset unterstreicht die kritische Bedeutung kontinuierlicher Netzwerkprotokoll-Audits und die Notwendigkeit proaktiver Cybersecurity-Strategien. Selbst korrekt formatierter Traffic kann bei unzureichender Analyse und Kontrolle als Angriffsvektor dienen, was Organisationen dazu zwingt, ihre bestehenden Web-Infrastruktur-Schutzstrategien grundlegend zu überdenken und zu verstärken.
