Istraživači su otkrili novi vektor napada koji se može iskoristiti za pokretanje masivnih distribuisanih napada uskraćivanja usluge (DDoS).
Napad, nazvan MadeYouReset, sličan je Rapid Reset metodi, koja je 2023. godine iskorišćena u zero-day napadima koji su oborili rekorde u pogledu broja zahtjeva u sekundi (RPS).
MadeYouReset, koji su otkrili istraživači iz bezbjednosne kompanije Imperva i Univerziteta u Tel Avivu u Izraelu, koristi propust u dizajnu implementacija HTTP/2.
„HTTP/2 je uveo otkazivanje tokova – mogućnost da i klijent i server trenutno zatvore tok u bilo kojem trenutku. Međutim, nakon što se tok otkaže, mnoge implementacije nastavljaju da obrađuju zahtjev, generišu odgovor, ali ga ne šalju nazad klijentu“, objasnio je CERT/CC sa Univerziteta Carnegie Mellon u svom bezbjednosnom savjetu. „To stvara nesklad između broja aktivnih tokova iz perspektive HTTP/2 i stvarnih HTTP zahtjeva koje backend server obrađuje.“
„Otvaranjem tokova i zatim brzim forsiranjem servera da ih resetuje pomoću neispravnih frejmova ili grešaka u kontroli protoka, napadač može iskoristiti razliku koja nastaje između obračuna HTTP/2 tokova i aktivnih HTTP zahtjeva na serveru. Tokovi koje server resetuje smatraju se zatvorenim, iako se backend obrada nastavlja. To omogućava klijentu da navede server da istovremeno obrađuje neograničen broj HTTP/2 zahtjeva kroz jednu konekciju“, dodao je CERT/CC.
Napadač može neprestano slati zahtjeve za resetovanje ciljanom serveru, što rezultira veoma disruptivnim DDoS napadima.
Međutim, za razliku od Rapid Reset metode, čini se da MadeYouReset do sada nije iskorišćen u stvarnim napadima.
Osnovna ranjivost, praćena kao CVE-2025-8671, utvrđena je u projektima i organizacijama kao što su AMPHP, Apache Tomcat, Eclipse Foundation, F5, Fastly, gRPC, Mozilla, Netty, Suse Linux, Varnish Software, Wind River i Zephyr Project.
Izvor: SecurityWeek
