ثغرة HTTP/2 الجديدة ‘MadeYouReset’ تمكّن من هجمات DoS واسعة النطاق
14 أغسطس 2025رافي لاكشمانان – أمان الخوادم / الثغرات
تم العثور على عدة تطبيقات لـ HTTP/2 عرضة لتقنية هجوم جديدة تُعرف بـ MadeYouReset، والتي يمكن استغلالها لتنفيذ هجمات حرمان من الخدمة (DoS) قوية.
“تتجاوز MadeYouReset الحد النموذجي الذي تفرضه الخوادم، وهو 100 طلب متزامن لـ HTTP/2 لكل اتصال TCP من عميل. تم تصميم هذا الحد للتخفيف من هجمات DoS عن طريق تقييد عدد الطلبات المتزامنة التي يمكن للعميل إرسالها،” كما قال الباحثون غال بار ناهوم، أنات بريمير-بار، ويانيف هاريل.
“مع MadeYouReset، يمكن للمهاجم إرسال آلاف الطلبات، مما يخلق حالة حرمان من الخدمة للمستخدمين الشرعيين، وفي بعض تطبيقات البائعين، يتصاعد الأمر إلى أعطال بسبب نفاد الذاكرة.”
تم تعيين الثغرة بالمعرف العام CVE-2025-8671، على الرغم من أن المشكلة تؤثر على عدة منتجات، بما في ذلك Apache Tomcat (CVE-2025-48989)، F5 BIG-IP (CVE-2025-54500)، وNetty (CVE-2025-55163).
تعتبر MadeYouReset أحدث عيب في HTTP/2 بعد Rapid Reset (CVE-2023-44487) وهجوم CONTINUATION Flood الذي يمكن أن يتم تسليحه لتنفيذ هجمات DoS واسعة النطاق.
تمامًا مثل كيفية استغلال الهجومين الآخرين لإطارات RST_STREAM وإطارات CONTINUATION، تستند MadeYouReset إلى Rapid Reset وتخفيفاته، التي تحد من عدد التدفقات التي يمكن للعميل إلغاؤها باستخدام RST_STREAM.
تستفيد هذه الثغرة بشكل خاص من حقيقة أن إطار RST_STREAM يُستخدم لكل من إلغاء العميل ولفت انتباه الأخطاء في التدفق. يتم ذلك عن طريق إرسال إطارات مصممة بعناية تثير انتهاكات البروتوكول بطرق غير متوقعة، مما يدفع الخادم إلى إعادة تعيين التدفق عن طريق إصدار RST_STREAM.
“لكي تعمل MadeYouReset، يجب أن يبدأ التدفق بطلب صالح يبدأ الخادم العمل عليه، ثم يتم تحفيز خطأ في التدفق بحيث يصدر الخادم RST_STREAM بينما يستمر النظام الخلفي في معالجة الاستجابة،” أوضح بار ناهوم.
“من خلال تصميم إطارات تحكم غير صالحة معينة أو انتهاك تسلسل البروتوكول في اللحظة المناسبة، يمكننا جعل الخادم يرسل RST_STREAM لتدفق يحمل طلبًا صالحًا بالفعل.”
تشمل الستة عناصر الأساسية التي تجعل الخادم يرسل إطارات RST_STREAM ما يلي:
- إطار WINDOW_UPDATE مع زيادة قدرها 0
- إطار PRIORITY بطول غير 5 (الطول الصالح الوحيد له)
- إطار PRIORITY يجعل تدفقًا يعتمد على نفسه
- إطار WINDOW_UPDATE مع زيادة تجعل النافذة تتجاوز 2^31 − 1 (وهو أكبر حجم نافذة مسموح به)
- إطار HEADERS أُرسل بعد أن أغلق العميل التدفق (عبر علامة END_STREAM)
- إطار DATA أُرسل بعد أن أغلق العميل التدفق (عبر علامة END_STREAM)
تعتبر هذه الهجمة ملحوظة ليس فقط لأنها تلغي الحاجة للمهاجم لإرسال إطار RST_STREAM، مما يتجاوز تمامًا تخفيفات Rapid Reset، ولكنها تحقق أيضًا نفس التأثير كما هو الحال مع الأخير.
في استشارة، قالت مركز تنسيق CERT (CERT/CC) إن MadeYouReset تستغل عدم التوافق الناتج عن إعادة تعيين التدفقات بين مواصفات HTTP/2 والهياكل الداخلية للعديد من خوادم الويب في العالم الحقيقي، مما يؤدي إلى استنفاد الموارد – وهو شيء يمكن للمهاجم استغلاله لإحداث هجوم DoS.
“تسليط الضوء على ثغرات Rapid Reset التي يتم تحفيزها من قبل الخادم يبرز التعقيد المتزايد لإساءة استخدام البروتوكولات الحديثة،” قالت إمبيرفا. “بينما تظل HTTP/2 أساس بنية الويب، فإن حمايتها من هجمات دقيقة ومتوافقة مع المواصفات مثل MadeYouReset أصبحت أكثر أهمية من أي وقت مضى.”
يجب أن تموت HTTP/1.1
يأتي الكشف عن MadeYouReset في الوقت الذي قامت فيه شركة أمان التطبيقات PortSwigger بتفصيل هجمات HTTP/1.1 الجديدة (المعروفة أيضًا باسم تهريب طلبات HTTP)، بما في ذلك نوع من CL.0 يسمى 0.CL، مما يعرض ملايين المواقع الإلكترونية للخطر. وقد عالجت أكاماي (CVE-2025-32094) وCloudflare (CVE-2025-4366) هذه المشكلات.
يعتبر تهريب طلبات HTTP استغلالًا أمنيًا يؤثر على بروتوكول طبقة التطبيقات الذي يستغل عدم التناسق في تحليل الطلبات غير المتوافقة مع RFC من قبل الخوادم الأمامية والخلفية، مما يسمح للمهاجم “بتهريب” طلب وتجاوز تدابير الأمان.
“لدى HTTP/1.1 عيب قاتل: يمكن للمهاجمين خلق غموض شديد حول مكان انتهاء طلب واحد، وأين يبدأ الطلب التالي،” قال جيمس كيتل من PortSwigger. “تزيل HTTP/2+ هذا الغموض، مما يجعل هجمات desync شبه مستحيلة. ومع ذلك، فإن مجرد تمكين HTTP/2 على خادم الحافة لديك غير كافٍ – يجب استخدامه للاتصال العلوي بين وكيل عكسي وخادم الأصل.”
