في عالم الأمان السيبراني المتطور، تم اكتشاف ثغرة جديدة في بروتوكول HTTP/2 تُعرف باسم MadeYouReset، والتي تهدد أمان العديد من الخوادم.
ثغرة HTTP/2 الجديدة ‘MadeYouReset’ تمكن من هجمات DoS واسعة النطاق
تم اكتشاف أن عدة تطبيقات لـ HTTP/2 معرضة لتقنية هجوم جديدة تُعرف باسم MadeYouReset، والتي يمكن استغلالها لإجراء هجمات حرمان الخدمة (DoS) قوية.
قال الباحثون غال بار ناهوم، أنات بريمير-بار، ويانيف هاريل: “تتجاوز MadeYouReset الحد الذي يفرضه الخادم عادةً، وهو 100 طلب متزامن لكل اتصال TCP من عميل. هذا الحد يهدف إلى التخفيف من هجمات DoS عن طريق تقييد عدد الطلبات المتزامنة التي يمكن للعميل إرسالها.”
“مع MadeYouReset، يمكن للمهاجم إرسال آلاف الطلبات، مما يخلق حالة حرمان الخدمة للمستخدمين الشرعيين، وفي بعض تطبيقات البائعين، قد يؤدي ذلك إلى انهيار بسبب نفاد الذاكرة.”
تم تعيين الثغرة المعروفة برمز CVE-2025-8671، على الرغم من أن المشكلة تؤثر على عدة منتجات، بما في ذلك Apache Tomcat (CVE-2025-48989)، F5 BIG-IP (CVE-2025-54500)، وNetty (CVE-2025-55163).
تعتبر MadeYouReset أحدث عيب في HTTP/2 بعد Rapid Reset (CVE-2023-44487) وHTTP/2 CONTINUATION Flood، والتي يمكن أن تُستخدم كأداة لتنفيذ هجمات DoS واسعة النطاق.
كيف يعمل MadeYouReset
تمامًا كما تستغل الهجومان الآخران إطار RST_STREAM وإطارات CONTINUATION، تستند MadeYouReset إلى Rapid Reset وتخفيفاته، التي تحد من عدد التدفقات التي يمكن للعميل إلغاؤها باستخدام RST_STREAM.
على وجه التحديد، تستفيد من حقيقة أن إطار RST_STREAM يُستخدم لكل من إلغاء العميل وإشارة أخطاء التدفق. يتم ذلك عن طريق إرسال إطارات مُعدّة بعناية تُtrigger انتهاكات البروتوكول بطرق غير متوقعة، مما يدفع الخادم لإعادة تعيين التدفق من خلال إصدار RST_STREAM.
“لكي تعمل MadeYouReset، يجب أن يبدأ التدفق بطلب صالح يعمل عليه الخادم، ثم يتم تحفيز خطأ في التدفق بحيث يصدر الخادم RST_STREAM بينما يستمر النظام الخلفي في حساب الاستجابة،” أوضح بار ناهوم.
“من خلال صياغة إطارات تحكم غير صالحة أو انتهاك تسلسل البروتوكول في اللحظة المناسبة، يمكننا جعل الخادم يرسل RST_STREAM لتدفق يحمل بالفعل طلبًا صالحًا.”
تشمل الستة البدائل التي تجعل الخادم يرسل إطارات RST_STREAM ما يلي:
- إطار WINDOW_UPDATE مع زيادة 0
- إطار PRIORITY بطول غير 5 (الطول الصالح الوحيد له)
- إطار PRIORITY يجعل تدفقًا يعتمد على نفسه
- إطار WINDOW_UPDATE مع زيادة تجعل النافذة تتجاوز 2^31 – 1 (وهو أكبر حجم نافذة مسموح به)
- إطار HEADERS يُرسل بعد أن أغلق العميل التدفق (عبر علامة END_STREAM)
- إطار DATA يُرسل بعد أن أغلق العميل التدفق (عبر علامة END_STREAM)
تعتبر هذه الهجمة ملحوظة لأنها تلغي الحاجة للمهاجم لإرسال إطار RST_STREAM، مما يتجاوز تمامًا تخفيفات Rapid Reset، ويحقق نفس التأثير.
في استشارة، قالت مركز تنسيق CERT (CERT/CC) إن MadeYouReset تستغل عدم تطابق ناجم عن إعادة تعيين التدفقات بين مواصفات HTTP/2 والهياكل الداخلية للعديد من خوادم الويب في العالم الحقيقي، مما يؤدي إلى استنفاد الموارد – وهو ما يمكن للمهاجم استغلاله لإحداث هجوم DoS.
“تكشف اكتشافات ثغرات Rapid Reset التي يتم تشغيلها بواسطة الخادم عن تعقيد البروتوكولات الحديثة المتطورة،” قالت إمبريفا. “مع استمرار HTTP/2 كأحد أساسيات بنية الويب، فإن حمايته ضد الهجمات الدقيقة والمتوافقة مع المواصفات مثل MadeYouReset أصبح أكثر أهمية من أي وقت مضى.”
يجب أن تنتهي HTTP/1.1
تأتي إعلانات MadeYouReset في الوقت الذي قامت فيه شركة PortSwigger للأمن التطبيقي بتفصيل هجمات HTTP/1.1 الجديدة (المعروفة أيضًا باسم تهريب طلبات HTTP)، بما في ذلك نسخة من CL.0 تُعرف باسم 0.CL، مما يعرض ملايين المواقع لخطر الاستيلاء. وقد عالجت أكاماي (CVE-2025-32094) وCloudflare (CVE-2025-4366) هذه القضايا.
يعتبر تهريب الطلبات HTTP استغلالًا أمنيًا يؤثر على بروتوكول طبقة التطبيق الذي يستغل عدم التناسق في تحليل الطلبات غير المتوافقة مع RFC من قبل الخوادم الأمامية والخلفية، مما يسمح للمهاجم “بتهريب” طلب وتجاوز التدابير الأمنية.
“تحتوي HTTP/1.1 على عيب قاتل: يمكن للمهاجمين خلق غموض شديد حول مكان انتهاء الطلب واحد، وأين يبدأ الطلب التالي،” قال جيمس كيتل من PortSwigger. “تزيل HTTP/2+ هذا الغموض، مما يجعل هجمات desync شبه مستحيلة. ومع ذلك، فإن مجرد تمكين HTTP/2 على خادم الحافة ليس كافيًا – يجب استخدامه للاتصال العلوي بين وكيلك العكسي وخادم الأصل.”
مع استمرار تطور التهديدات السيبرانية، من الضروري أن تبقى على اطلاع بأحدث الثغرات الأمنية وكيفية حماية أنظمتك منها.
