Preiscriviti ora al corso Ethical Hacker! Scopri di più

MadeYouReset: Nuova falla HTTP2 scatena attacchi DoS di massa – rischio per milioni di server web
- Redazione
- News
- Visite: 21
Una nuova vulnerabilità denominata MadeYouReset è stata individuata in diverse implementazioni di HTTP2, rendendo possibili attacchi di tipo denial-of-service su larga scala. Questa tecnica sfrutta una debolezza nei limiti imposti dai server HTTP2 riguardo alle richieste concorrenti su una singola connessione TCP. Normalmente, i server impostano un limite di 100 richieste HTTP2 simultanee per mitigare i rischi di DoS, ma MadeYouReset consente agli attaccanti di inviare migliaia di richieste, saturando le risorse e rendendo il servizio inaccessibile agli utenti legittimi.
Prodotti colpiti e precedenti vulnerabilità
Il problema è stato classificato con l'identificativo CVE-2025-8671 e interessa prodotti come Apache Tomcat, F5 BIG-IP e Netty, ognuno dei quali ha ricevuto un codice CVE specifico. MadeYouReset si aggiunge a vulnerabilità precedenti come Rapid Reset e HTTP2 CONTINUATION Flood, tutte in grado di compromettere la disponibilità dei servizi tramite exploit delle specificità del protocollo HTTP2.
Meccanismo dell'attacco
L’attacco si basa sull’uso ingegnoso delle frame HTTP2, in particolare RST_STREAM, che in HTTP2 serve sia per la cancellazione della richiesta da parte del client che per segnalare errori di stream. L’attaccante invia frame appositamente costruite che inducono il server a commettere violazioni di protocollo, costringendolo a resettare lo stream e liberando così la possibilità di inviare nuove richieste senza essere limitato dal numero massimo imposto dal server.
- WINDOW_UPDATE con incremento zero
- Frame PRIORITY di lunghezza non valida
- Stream che si rendono dipendenti da se stessi
- Manipolazioni sulle frame HEADERS e DATA dopo la chiusura dello stream
Questa vulnerabilità è particolarmente insidiosa perché permette di aggirare le mitigazioni implementate dopo gli attacchi Rapid Reset, ottenendo il medesimo effetto di esaurimento delle risorse di sistema senza che sia necessario inviare direttamente frame RST_STREAM dall’attaccante.
Implicazioni e mitigazioni
Secondo il CERT Coordination Center, MadeYouReset sfrutta una discrepanza tra le specifiche di HTTP2 e le architetture interne di molti server web, portando a una situazione di esaurimento delle risorse. La complessità dei protocolli moderni, come HTTP2, rende fondamentale sviluppare misure di difesa che vadano oltre il rispetto formale delle specifiche, dato che attacchi come MadeYouReset sono conformi al protocollo ma sfruttano dettagli implementativi.
Contestualmente, sono emerse anche nuove tecniche di desincronizzazione HTTP1.1 (HTTP request smuggling), che mettono a rischio milioni di siti web. L’adozione di HTTP2, ben configurato anche tra proxy e server originari, resta una misura essenziale per ridurre la superficie d’attacco.