Специалисты по кибербезопасности выявили новую серьезную уязвимость в различных реализациях протокола HTTP/2, которая получила название MadeYouReset. Данная проблема открывает возможности для проведения мощных распределенных атак типа «отказ в обслуживании» (DDoS), способных парализовать работу веб-сервисов и инфраструктуры.
Техническая характеристика уязвимости CVE-2025-8671
Исследование, проведенное экспертами компаний Imperva и Deepness Lab совместно с Тель-Авивским университетом, показало, что уязвимость затрагивает широкий спектр продуктов от ведущих технологических вендоров. Основной идентификатор CVE-2025-8671 дополняется множественными CVE от различных поставщиков программного обеспечения.
Среди пострадавших решений находятся критически важные компоненты интернет-инфраструктуры: Apache Tomcat (CVE-2025-48989), F5 BIG-IP (CVE-2025-54500), Netty (CVE-2025-55163), а также продукты Vert.x и Varnish. Под угрозой также оказались технологии Mozilla, Wind River, Zephyr Project, Google, IBM и Microsoft.
Механизм работы атаки MadeYouReset
Фундаментальная опасность MadeYouReset заключается в способности обходить стандартные защитные механизмы HTTP/2. Протокол предусматривает лимит в 100 одновременных запросов на одно клиентское TCP-соединение, что должно предотвращать DoS-атаки. Однако новая уязвимость позволяет злоумышленникам отправлять тысячи запросов, превышая установленные ограничения.
Атака строится на основе ранее известной техники Rapid Reset и использует особенности обработки фреймов RST_STREAM в протоколе HTTP/2. Ключевая инновация заключается в том, что фрейм RST_STREAM применяется как для отмены запросов клиентом, так и для уведомления об ошибках потока.
Алгоритм эксплуатации уязвимости
MadeYouReset функционирует через отправку специально сформированных фреймов, которые провоцируют неожиданные нарушения протокола. Процесс атаки начинается с валидного запроса, над которым сервер начинает обработку, после чего искусственно создается ошибка, вынуждающая сервер использовать RST_STREAM для сброса потока.
Создавая определенные невалидные контрольные фреймы или нарушая работу протокола в критический момент, атакующие могут заставить сервер применить RST_STREAM для потока с уже валидным запросом. Это полностью обходит существующие защитные механизмы против Rapid Reset атак.
Сравнение с предыдущими векторами атак
MadeYouReset демонстрирует эволюцию техник атак на HTTP/2, следуя по стопам Rapid Reset и Continuation Flood. Эти предшественники в 2023 году установили рекорды по количеству запросов в секунду (RPS) в DDoS-атаках нулевого дня. Новая уязвимость превосходит их по коварству, поскольку маскируется под обычный сетевой трафик, значительно усложняя процесс обнаружения.
Стратегии защиты и митигации
Эксперты рекомендуют комплексный подход к защите от MadeYouReset атак. Первоочередные меры включают внедрение более строгой валидации протокола и развертывание усиленного отслеживания состояний потоков для отклонения невалидных переходов.
Дополнительно необходимо реализовать контроль скорости на уровне соединений и развернуть системы обнаружения аномалий с поведенческим мониторингом. Такой многоуровневый подход позволит выявлять подозрительную активность даже при маскировке атакующего трафика под легитимные запросы.
Открытие MadeYouReset подчеркивает критическую важность постоянного аудита сетевых протоколов и необходимость проактивного подхода к кибербезопасности. Даже корректно сформированный трафик может стать инструментом атаки при недостаточном анализе и контроле, что требует от организаций пересмотра существующих стратегий защиты веб-инфраструктуры.
