Una nueva vulnerabilidad llamada MadeYouReset ha sido descubierta en varias implementaciones del protocolo HTTP/2, permitiendo a atacantes lanzar poderosos ataques de denegación de servicio (DoS). Este fallo elude las medidas de seguridad habituales, como el límite de 100 peticiones concurrentes por conexión TCP, que están diseñadas para prevenir este tipo de ataques. Los investigadores Gal Bar Nahum, Anat Bremler-Barr y Yaniv Harel explicaron que, con MadeYouReset, un atacante puede enviar miles de peticiones simultáneamente. Esto no solo genera una condición de denegación de servicio para los usuarios legítimos, sino que en algunas implementaciones puede provocar fallos por falta de memoria. La vulnerabilidad ha sido identificada con el CVE genérico CVE-2025-8671, y afecta a productos de múltiples proveedores, como Apache Tomcat (CVE-2025-48989), F5 BIG-IP (CVE-2025-54500) y Netty (CVE-2025-55163).
MadeYouReset es la más reciente de una serie de vulnerabilidades en HTTP/2, siguiendo a Rapid Reset (CVE-2023-44487) y HTTP/2 CONTINUATION Flood. Mientras que esos ataques anteriores dependían de enviar marcos de control específicos (RST_STREAM y CONTINUATION), MadeYouReset es una evolución que evade las mitigaciones implementadas contra Rapid Reset. Este nuevo método se aprovecha de que el marco RST_STREAM se utiliza tanto para cancelaciones iniciadas por el cliente como para señalar errores de flujo.
La clave de MadeYouReset radica en enviar marcos manipulados que causan violaciones inesperadas del protocolo. Esto provoca que el servidor, en lugar de ser el cliente, sea quien emita el marco RST_STREAM para restablecer el flujo. Para que el ataque funcione, el flujo debe empezar con una petición válida en la que el servidor ya esté trabajando. Justo en el momento preciso, el atacante envía un marco de control no válido o viola la secuencia del protocolo. Esto fuerza al servidor a enviar el RST_STREAM para un flujo que ya estaba procesando, lo que consume recursos y crea la condición de DoS.
Seis tipos de marcos manipulados pueden hacer que el servidor envíe el RST_STREAM, incluyendo un marco WINDOW_UPDATE con un incremento de 0 o uno con una longitud que no es 5. Este método es especialmente peligroso porque, al no requerir que el atacante envíe el marco RST_STREAM directamente, evita por completo las defensas contra Rapid Reset y logra el mismo impacto. El CERT Coordination Center (CERT/CC) señaló que MadeYouReset explota una discrepancia entre las especificaciones de HTTP/2 y la arquitectura interna de muchos servidores web, lo que conduce al agotamiento de recursos.
El artículo también menciona la necesidad de migrar de HTTP/1.1 a protocolos más seguros. Justo al mismo tiempo que se dio a conocer MadeYouReset, la firma de seguridad PortSwigger detalló nuevos ataques de HTTP/1.1 desync (conocidos como HTTP request smuggling), que ponen en riesgo a millones de sitios web. Estos ataques se aprovechan de la forma ambigua en que los servidores front-end y back-end analizan las peticiones no conformes con las especificaciones del protocolo. El investigador James Kettle de PortSwigger afirmó que HTTP/1.1 tiene un defecto fundamental que permite a los atacantes crear ambigüedad sobre el final de una petición y el inicio de la siguiente. HTTP/2, por el contrario, elimina esta ambigüedad, haciendo que los ataques de desincronización sean casi imposibles. Para una protección completa, es crucial que se utilice HTTP/2 no solo en la conexión del cliente al servidor de borde, sino también en la conexión entre el proxy inverso y el servidor de origen.
Fuente:
https://thehackernews.com/2025/08/new-http2-madeyoureset-vulnerability…