Ciberseguridad 360 | HTTP/2 en riesgo: MadeYouReset habilita DoS masivos

Se han detectado m�ltiples implementaciones de HTTP/2 susceptibles a una nueva t�cnica de ataque denominada MadeYouReset, que podr�a explotarse para llevar a cabo potentes ataques de denegaci�n de servicio (DoS).

"MadeYouReset elude el l�mite t�pico impuesto por el servidor de 100 solicitudes HTTP/2 simult�neas por conexi�n TCP desde un cliente. Este l�mite tiene por objeto mitigar los ataques DoS restringiendo el n�mero de solicitudes simult�neas que puede enviar un cliente", afirman los investigadores Gal Bar Nahum, Anat Bremler-Barr y Yaniv Harel.

"Con MadeYouReset, un atacante puede enviar miles de solicitudes, creando una condici�n de denegaci�n de servicio para los usuarios leg�timos y, en algunas implementaciones de proveedores, provocando fallos por falta de memoria".

A la vulnerabilidad se le ha asignado el identificador CVE gen�rico CVE-2025-8671, aunque el problema afecta a varios productos, entre ellos Apache Tomcat (CVE-2025-48989), F5 BIG-IP (CVE-2025-54500) y Netty (CVE-2025-55163).

MadeYouReset es la �ltima vulnerabilidad en HTTP/2 despu�s de Rapid Reset (CVE-2023-44487) y HTTP/2 CONTINUATION Flood, que puede ser potencialmente utilizada para lanzar ataques DoS a gran escala.

Al igual que los otros dos ataques aprovechan la trama RST_STREAM y las tramas CONTINUATION, respectivamente, en el protocolo HTTP/2 para llevar a cabo el ataque, MadeYouReset se basa en Rapid Reset y su mitigaci�n, que limita el n�mero de flujos que un cliente puede cancelar utilizando RST_STREAM.

En concreto, aprovecha el hecho de que la trama RST_STREAM se utiliza tanto para la cancelaci�n iniciada por el cliente como para se�alar errores de transmisi�n. Esto se consigue enviando tramas cuidadosamente dise�adas que provocan violaciones del protocolo de forma inesperada, lo que lleva al servidor a restablecer la transmisi�n mediante la emisi�n de una RST_STREAM.

"Para que MadeYouReset funcione, la transmisi�n debe comenzar con una solicitud v�lida que el servidor empiece a procesar, y luego provocar un error de transmisi�n para que el servidor emita RST_STREAM mientras el backend contin�a calculando la respuesta", explic� Bar Nahum.

"Al crear determinados marcos de control no v�lidos o violar la secuencia del protocolo en el momento adecuado, podemos hacer que el servidor env�e RST_STREAM para una transmisi�n que ya conten�a una solicitud v�lida".

Las seis primitivas que hacen que el servidor env�e tramas RST_STREAM incluyen:

Trama WINDOW_UPDATE con un incremento de 0

Trama PRIORITY cuya longitud no es 5 (la �nica longitud v�lida para ella)

Trama PRIORITY que hace que un flujo dependa de s� mismo

Trama WINDOW_UPDATE con un incremento que hace que la ventana supere 2^31 ? 1 (que es el tama�o de ventana m�ximo permitido)

Trama HEADERS enviada despu�s de que el cliente haya cerrado el flujo (mediante el indicador END_STREAM)

Trama DATA enviada despu�s de que el cliente haya cerrado el flujo (mediante el indicador END_STREAM)

Este ataque es notable, entre otras cosas, porque evita que el atacante tenga que enviar una trama RST_STREAM, lo que le permite eludir por completo las medidas de mitigaci�n de Rapid Reset y, adem�s, lograr el mismo impacto que estas.

En un aviso, el Centro de Coordinaci�n CERT (CERT/CC) afirm� que MadeYouReset aprovecha una discrepancia causada por los reinicios de flujo entre las especificaciones HTTP/2 y las arquitecturas internas de muchos servidores web reales, lo que provoca el agotamiento de los recursos, algo que un atacante puede aprovechar para provocar un ataque DoS.

"El descubrimiento de vulnerabilidades de reinicio r�pido provocadas por el servidor pone de relieve la creciente complejidad del abuso de los protocolos modernos", afirm� Imperva. "Dado que HTTP/2 sigue siendo la base de la infraestructura web, protegerlo contra ataques sutiles y conformes con las especificaciones, como MadeYouReset, es m�s importante que nunca".

Fuente: thehackernews