Hace poco se dio a conocer información sobre una vulnerabilidad crítica en el protocolo HTTP/2, bautizada como MadeYouReset (CVE-2025-8671). Se trata de una técnica que permite a los atacantes simplificar los ataques de denegación de servicio (DoS), agotando los recursos de los servidores mediante la manipulación de tramas de control.
Lo que hace especialmente peligrosa esta falla es que logra evadir el mecanismo de seguridad integrado en HTTP/2 conocido como MAX_CONCURRENT_STREAMS, diseñado para limitar el número de solicitudes concurrentes que un cliente puede mantener. Con MadeYouReset, esa barrera desaparece, dejando al servidor expuesto a una avalancha prácticamente ilimitada de peticiones.
La vulnerabilidad es una evolución del conocido ataque Rapid Reset de 2023, aunque introduce un giro inesperado: en lugar de que sea el cliente quien cancele la solicitud, ahora es el propio servidor el que, por error, reinicia el flujo, generando el mismo impacto devastador con una carga mínima para el atacante.
Cómo funciona MadeYouReset
Para comprender esta amenaza, es importante recordar cómo opera HTTP/2. Este protocolo organiza la comunicación en flujos, cada uno compuesto por solicitudes y respuestas. Para mantener el equilibrio, existe un límite que evita que un cliente inunde a un servidor con demasiadas solicitudes activas. Sin embargo, MadeYouReset aprovecha una grieta en la implementación: permite iniciar una solicitud válida y luego forzar que el servidor genere un error en la secuencia de tramas.
Ese error desencadena un RST_STREAM, lo que en teoría debería detener el procesamiento. No obstante, en muchas implementaciones de HTTP/2, el servidor continúa ejecutando la solicitud en segundo plano, consumiendo recursos valiosos de CPU y memoria, aunque el flujo ya se considere cerrado.
De esta forma, el atacante puede repetir el proceso indefinidamente, enviando peticiones mínimas que apenas le cuestan esfuerzo, mientras el servidor se ve obligado a invertir una enorme cantidad de recursos en atenderlas.
Impacto en servidores y aplicaciones
El alcance de MadeYouReset es considerable. Entre los sistemas confirmados como vulnerables se encuentran Apache Tomcat, Netty, Eclipse Jetty, Fastly, varnish, lighttpd, h2o, pingora, BIND (en su implementación de DNS sobre HTTPS) y Zephyr RTOS, además de varios servicios vinculados a Mozilla.
El efecto más común es una denegación total del servicio, pero en casos más graves los servidores colapsan por falta de memoria (OOM). Esto depende de factores como la capacidad de hardware, la velocidad del atacante y el tipo de recurso atacado.
Incluso cuando las solicitudes no llegan a ejecutar un proceso intensivo en el backend, la constante creación y destrucción de flujos (análisis de tramas, compresión HPACK, mantenimiento de estados) genera suficiente sobrecarga para degradar seriamente el rendimiento.
De Rapid Reset a MadeYouReset
La vulnerabilidad Rapid Reset de 2023 ya había demostrado lo difícil que resulta proteger HTTP/2 frente a abusos de concurrencia. En aquel caso, el ataque consistía en abrir y cancelar solicitudes a gran velocidad. La mitigación implementada fue relativamente sencilla: limitar el número de cancelaciones permitidas por cliente.
MadeYouReset, sin embargo, evita esta defensa. Como el reinicio no lo provoca el cliente, sino el propio servidor tras detectar inconsistencias en las tramas de control, las limitaciones aplicadas a las cancelaciones del cliente quedan inútiles. Esto convierte a MadeYouReset en una amenaza mucho más difícil de frenar.
Consecuencias para la web y próximos pasos
Los investigadores detrás del hallazgo advierten que la naturaleza asimétrica de HTTP/2 hace que esta vulnerabilidad tenga un enorme potencial destructivo. Un atacante con recursos mínimos puede derribar servicios críticos, aprovechando un diseño que en condiciones normales beneficia la eficiencia y velocidad de la web moderna.
Aunque algunas plataformas como Apache httpd, HAProxy, Node.js o LiteSpeed no se ven afectadas, la lista de proyectos vulnerables es extensa y compromete una gran parte de la infraestructura de internet. El estado de nginx aún no se ha definido con claridad.
Las investigaciones continúan y los proveedores trabajan en mitigaciones específicas. Mientras tanto, MadeYouReset deja en evidencia la fragilidad del equilibrio entre rendimiento y seguridad en los protocolos de comunicación de la red.
Fuente: https://galbarnahum.com
Continúar leyendo...