Дослідники з галузі кібербезпеки виявили критичну уразливість у протоколі HTTP/2, яка отримала назву MadeYouReset. Ця серйозна проблема безпеки дозволяє зловмисникам проводити потужні DDoS-атаки, здатні повністю паралізувати роботу веб-сервісів та критично важливої інтернет-інфраструктуры.
Технічні деталі уразливості CVE-2025-8671
Спільне дослідження компаній Imperva, Deepness Lab та Тель-Авівського університету виявило, що уразливість впливає на широкий спектр технологічних рішень від провідних постачальників програмного забезпечення. Основний ідентифікатор CVE-2025-8671 супроводжується численними додатковими CVE від різних вендорів.
До списку уражених продуктів потрапили критично важливі компоненти інтернет-екосистеми: Apache Tomcat (CVE-2025-48989), F5 BIG-IP (CVE-2025-54500), Netty (CVE-2025-55163), а також рішення від Vert.x, Varnish, Mozilla, Wind River, Zephyr Project, Google, IBM та Microsoft.
Принцип роботи атаки MadeYouReset
Головна небезпека MadeYouReset полягає в здатності обходити стандартні механізми захисту HTTP/2. Протокол встановлює ліміт у 100 одночасних запитів на одне TCP-з’єднання для запобігання DoS-атакам, проте нова уразливість дозволяє атакуючим відправляти тисячі запитів, перевищуючи встановлені обмеження.
Атака базується на раніше відомій техніці Rapid Reset та використовує особливості обробки фреймів RST_STREAM у протоколі HTTP/2. Ключова інновація полягає в тому, що фрейм RST_STREAM використовується як для скасування запитів клієнтом, так і для повідомлення про помилки потоку.
Алгоритм експлуатації уразливості
MadeYouReset функціонує через відправку спеціально сформованих фреймів, які провокують неочікувані порушення протоколу. Процес атаки розпочинається з валідного запиту, який сервер починає обробляти, після чого штучно створюється помилка, що змушує сервер використовувати RST_STREAM для скидання потоку.
Створюючи певні невалідні контрольні фрейми або порушуючи роботу протоколу в критичний момент, атакуючі можуть змусити сервер застосувати RST_STREAM для потоку з уже валідним запитом. Це повністю обходить існуючі захисні механізми проти Rapid Reset атак.
Порівняння з попередніми векторами атак
MadeYouReset демонструє еволюцію технік атак на HTTP/2, слідуючи за Rapid Reset та Continuation Flood. Ці попередники у 2023 році встановили рекорди за кількістю запитів на секунду (RPS) у DDoS-атаках нульового дня. Нова уразливість перевершує їх за підступністю, оскільки маскується під звичайний мережевий трафік, значно ускладнюючи процес виявлення.
Стратегії захисту та мітигації загроз
Експерти рекомендують комплексний підхід до захисту від MadeYouReset атак. Першочергові заходи включають впровадження більш строгої валідації протоколу та розгортання посиленого відстеження станів потоків для відхилення невалідних переходів.
Додатково необхідно реалізувати контроль швидкості на рівні з’єднань та розгорнути системи виявлення аномалій з поведінковим моніторингом. Такий багаторівневий підхід дозволить виявляти підозрілу активність навіть при маскуванні атакуючого трафіку під легітимні запити.
Відкриття MadeYouReset підкреслює критичну важливість постійного аудиту мережевих протоколів та необхідність проактивного підходу до кібербезпеки. Навіть коректно сформований трафік може стати інструментом атаки при недостатньому аналізі та контролі, що вимагає від організацій перегляду існуючих стратегій захисту веб-інфраструктури та впровадження сучасних рішень для протидії новітнім кіберзагрозам.
