Os pesquisadores de segurança divulgaram uma vulnerabilidade crítica no protocolo HTTP/2 que poderia permitir ataques maciços de negação de serviço distribuído (DDoS), potencialmente afetando milhões de servidores da Web em todo o mundo.
A falha, apelidada de “Madeyoureset” e atribuída CVE-2025-8671, foi publicamente divulgado Em 13 de agosto de 2025, por pesquisadores que alertam isso podem superar o impacto dos devastadores ataques de “redefinição rápida” de 2023.
Visão geral da vulnerabilidade
A vulnerabilidade Madeyoureset permite que os invasores ignorem os limites de simultaneidade interno do HTTP/2, permitindo que eles criem trabalho simultâneo ilimitado em servidores de destino com recursos mínimos.
Isso representa uma escalada significativa do tradicional DDoS Os métodos, pois os invasores podem sobrecarregar os servidores enquanto usam muito menos largura de banda e poder computacional do que ataques convencionais.
| Projeto | Cve |
| HTTP/2 GERAL | CVE-2025-8671 |
| Netty | CVE-2025-55163 |
| Apache Tomcat | CVE-2025-48989 |
| F5 Big-IP | CVE-2025-54500 |
| H2O | CVE-2025-8671 |
| Swift-nio-http2 | Pendente |
A pesquisa foi conduzida em conjunto pelo especialista em segurança Gal Bar-Nahum com o professor Anat Bremler-Barr e Yaniv Harel, da Universidade de Tel Aviv, com apoio parcial da Imperva.
A vulnerabilidade se baseia na base do rápido ataque de redefinição de 2023, mas apresenta uma reviravolta inteligente que contorna as estratégias de mitigação comuns implantadas após o incidente anterior.
O HTTP/2 inclui um parâmetro chamado max_concurrent_streams, normalmente definido como 100, o que limita o número de fluxos ativos que um cliente pode manter simultaneamente.
Esse mecanismo foi projetado para impedir que a sobrecarga do servidor de clientes maliciosos abrem muitas solicitações simultâneas.
O ataque rápido de redefinição rápida explorou os recursos de cancelamento de solicitação, permitindo que os atacantes abrem fluxos e os cancelam imediatamente usando os quadros RST_stream.
Enquanto os servidores continuaram processando essas solicitações canceladas, eles não contavam mais para o limite de simultaneidade, permitindo o potencial de ataque ilimitado.
O Madeyoureset adota uma abordagem diferente. Em vez de as solicitações de cancelamento do cliente, a nova técnica trata o servidor para cancelá -las automaticamente.
Os pesquisadores identificaram seis métodos diferentes para acionar os quadros RST_stream iniciados pelo servidor, mantendo o processamento de back-end válido, ignorando completamente as mitigações de contagem RST_stream implementadas após redefinição rápida.
O vulnerabilidade Afeta praticamente todas as implementações compatíveis com HTTP/2. Os testes revela que a maioria dos servidores pode ser impulsionada para a negação completa do serviço, com muitos travamentos fora da memória.
A eficácia do ataque depende da capacidade do servidor, da largura de banda do invasor e da complexidade dos recursos -alvo, mas a natureza assimétrica do ataque torna a maioria das implementações vulneráveis.
As organizações que executam servidores HTTP/2 devem revisar imediatamente os avisos dos fornecedores e aplicar patches disponíveis para mitigar essa vulnerabilidade crítica.
AWS Security Services:10-Point Executive Checklist - Download for Free