Augusztus közepén Tel-Aviv-i kutatók nyilvánosságra hoztak egy új HTTP/2 szolgáltatásmegtagadási rést (DoS), a MadeYouReset (CVE-2025-8671) nevű sérülékenységet. Ez a probléma kizárólag néhány régóta frissítetlen HTTP/2 szervert érint, amelyek nem megfelelően kezelik a szerver által kezdeményezett stream-visszaállításokat (reseteket). Fontos hangsúlyozni, hogy aki a Cloudflare DDoS elleni védelmét használja, automatikusan védett a MadeYouReset támadás ellen.
Bár a Cloudflare már májusban értesült a problémáról, a fejlesztők megállapították, hogy rendszereik nem sebezhetők. Ez részben annak is köszönhető, hogy már a 2019-es Netflix sebezhetőségi sorozat idején felkészültek az ehhez hasonló támadásokra, sőt, 2023-ban a Rapid Reset (CVE-2023-44487) miatt további védelmi intézkedéseket vezettek be. Mindkét támadástípus ugyanazt a HTTP/2 protokoll mélyén megbúvó funkciót, a stream resetet használja ki. Egy HTTP/2 kliens és szerver úgy kommunikál, hogy kérés-válasz párokat továbbít stream formájában, amelyet a RST_STREAM keret (frame) segítségével bármelyik fél visszaállíthat, vagyis az adott folyamatot idő előtt leállíthatja.
A MadeYouReset és a Rapid Reset támadások abban különböznek, hogy előbbinél a szerver által küldött visszaállításokat, utóbbinál pedig a kliens által kezdeményezetteket használják ki. Itt az történik, hogy a támadó szándékosan hibás adatokat küld, ami protokollsértésekhez vezet – ezzel rábírja a szervert, hogy visszaállítsa a stream hibákat. Ha ezt elég gyorsan és gyakran ismétli meg, a szerver erőforrásait teljesen lefoglalhatja, folyamatosan értelmetlen műveletek elindításával és eldobásával. A szerver túlterheltsége miatt így a jogosult felhasználók számára is elérhetetlenné válhat a szolgáltatás.
A védekezési lehetőségek és a protokoll fejlesztései
Az RFC 9113 leírja, hogy a HTTP/2 protokoll számos funkcióval rendelkezik, amelyek hibás implementálás esetén könnyen a DoS támadások eszközeivé válhatnak. Minden szolgáltatónak célszerű végponti monitorozást és korlátbeállításokat alkalmazni, különben kiszolgáltatottá válik ezeknek a visszaéléseknek.
Fontos hangsúlyozni, hogy a MadeYouReset csak néhány, régóta frissítetlen szerverváltozatot érint. A legtöbb elterjedt HTTP/2 implementáció, amely már a Rapid Reset elleni védelmet is beépítette, automatikusan védett a mostani támadással szemben is.
Cloudflare, a Pingora keretrendszer és frissítési tippek
A Cloudflare nyílt forráskódú Pingora keretrendszere a népszerű, Rust alapú h2 könyvtárat használja a HTTP/2 kezelésére. Az h2 könyvtár 0.4.11 előtti verziói potenciálisan ki vannak téve a MadeYouReset veszélyeinek, ezért aki Pingorát használ, frissítse a könyvtárat a cargo update paranccsal. Fontos ugyanakkor, hogy a Pingora nem maga fogadja a bejövő HTTP kapcsolatokat a Cloudflare hálózatán, így maga a szerverinfrastruktúra nem támadható ezzel a módszerrel.
A sebezhetőség feltárását Gal Bar Nahum, Anat Bremler-Barr és Yaniv Harel kutatók végezték. A Cloudflare bátorít minden biztonsági szakembert, hogy a hasonló problémákat jelentse a HackerOne Bug Bounty programban.
2025, adminboss, blog.cloudflare.com alapján
