Los investigadores de seguridad han identificado una nueva vulnerabilidad de denegación de servicio (DOS) en las implementaciones HTTP/2, denominadas MadeYoureset (CVE-2025-8671). Este descubrimiento representa una escalada notable en las amenazas asociadas con los protocolos web.
Deglado públicamente el 13 de agosto de 2025, este defecto permite a los atacantes omitir los límites de concurrencia incorporados, servidores abrumadores con solicitudes concurrentes ilimitadas y sistemas potencialmente bloqueados a través del agotamiento de los recursos.
MadeYoureset se basa directamente en la vulnerabilidad de reinicio rápido 2023 (CVE-2023-44487), que explotó el mecanismo de cancelación de la corriente de HTTP/2.
En un reinicio rápido, los atacantes enviaron solicitudes e inmediatamente las cancelaron utilizando marcos rst_stream iniciados por el cliente, lo que obligó a los servidores a procesar respuestas sin contar hacia el límite max_concurrent_streams, establecido típicamente en 100.
Esto creó un desajuste: las corrientes aparecieron cerradas en la capa HTTP/2, pero el procesamiento de backend continuó, lo que permite ataques DDoS masivos que alcanzaron su punto máximo en más de 398 millones de solicitudes por segundo.
Las mitigaciones para un restablecimiento rápido se centraron en limitar los marcos RST_STREAM, el cliente, limitando efectivamente las cancelaciones de alrededor de 100 por conexión. Sin embargo, MadeYoureset inteligentemente resuelve esto al engañar al servidor para que emita marcos RST_STREAM.
Http/2 vulnerabilidad de sujeción
HTTP/2 usa marcos transmitidos sobre transmisiones para solicitudes y respuestas, con marcos de control como configuración, Window_Update y RST_STREAM Managing Behavior. El parámetro Max_Concurrent_Streams del protocolo tiene como objetivo evitar la sobrecarga al limitar las secuencias activas.
En MadeYoureset, los atacantes envían solicitudes válidas de que el servidor comienza a procesarse, luego active errores de protocolo a través de marcos de control no válidos o violaciones de secuenciación.
Esto solicita al servidor que envíe RST_STREAM para errores, cerrando la transmisión en la vista HTTP/2 mientras persiste el cálculo de backend. Los investigadores identificaron seis primitivas compatibles con RFC para inducir estos reinicios del servidor, aplicables a cualquier implementación de control de estándares.
A diferencia de las solicitudes malformadas que activan el rechazo inmediato (por ejemplo, errores 4XX sin trabajo de back -end), estas primitivas aseguran que el servidor inicie un procesamiento pesado antes del reinicio. Resultado: los atacantes inundan servidores con solicitudes que exceden los límites de concurrencia, todos sin enviar rst_stream mismos, evadiendo salvaguardas comunes.
La vulnerabilidad permite ataques DDoS de bajo costo y alto impacto. Los atacantes necesitan recursos mínimos, un ancho de banda suficiente para enviar marcos, mientras que los servidores gastan CPU, memoria y E/S en solicitudes fantasmas. Las pruebas muestran que la mayoría de los sistemas afectados sufren DOS completos, y algunos se bloquean de condiciones fuera de memoria.
El impacto varía según la capacidad del servidor y los recursos específicos. Incluso la sobrecarga de la corriente liviana (análisis, gestión de estado, compresión de HPACK) se acumula a escala, degradando el rendimiento. Combinado con botnets, esto podría rivalizar con los asaltos récord de Rapid Repet.
Los proyectos afectados incluyen Netty (CVE-2025-55163), Apache Tomcat (CVE-2025-48989), F5 Big-IP (CVE-2025-54500), H2O y SWIFT-NIO-HTTP2. Más de 100 proveedores fueron coordinados para la divulgación a través de CERT/CC.
Los proveedores recomiendan parches inmediatos: actualizar a versiones fijas e implementar la limitación de la velocidad en los reinicios del servidor. Para sistemas no parpados, reduzca max_concurrent_streams o monitoree los patrones anómalos RST_STREAM.
Este defecto destaca las asimetrías persistentes en HTTP/2, donde el envío de solicitud es barato, pero el procesamiento es costoso. A medida que el tráfico web se basa cada vez más en HTTP/2, los refinamientos de protocolo en curso son esenciales para contrarrestar las amenazas de evolución.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
