研究者たちは、大規模な分散型サービス拒否(DDoS)攻撃に悪用可能な新たな攻撃手法を発見しました。
この攻撃はMadeYouResetと名付けられており、2023年にゼロデイ攻撃で悪用され、リクエスト毎秒(RPS)でDDoS記録を更新したRapid Resetに似ています。
MadeYouResetは、イスラエルのセキュリティ企業Impervaとテルアビブ大学の研究者によって発見され、HTTP2実装の設計上の欠陥を利用しています。
「HTTP/2はストリームのキャンセル機能――クライアントとサーバーの両方がいつでもストリームを即座に閉じることができる機能――を導入しました。しかし、ストリームがキャンセルされた後も、多くの実装ではリクエストの処理やレスポンスの計算を続けますが、それをクライアントに返しません」とカーネギーメロン大学のCERT/CCはアドバイザリで説明しています。「これにより、HTTP/2の観点から見たアクティブなストリーム数と、バックエンドサーバーが実際に処理しているアクティブなHTTPリクエスト数との間に不一致が生じます。」
「ストリームを開いた後、不正なフレームやフロー制御エラーを使ってサーバーにストリームのリセットを高速でトリガーすることで、攻撃者はHTTP/2のストリーム管理とサーバーのアクティブなHTTPリクエストとの間に生じる不一致を悪用できます。サーバーによってリセットされたストリームはクローズされたと見なされますが、バックエンドでの処理は継続されます。これにより、クライアントは単一の接続でサーバーに無制限の同時HTTP/2リクエストを処理させることが可能になります」とCERT/CCは付け加えています。
攻撃者は標的サーバーにリセットリクエストを継続的に送信することで、非常に大規模なDDoS攻撃を引き起こすことができます。
ただし、Rapid Resetの場合とは異なり、MadeYouReset手法が実際に野放しで悪用された形跡は現時点ではないようです。
根本的な脆弱性はCVE-2025-8671として追跡されており、AMPHP、Apache Tomcat、Eclipse Foundation、F5、Fastly、gRPC、Mozilla、Netty、Suse Linux、Varnish Software、Wind River、Zephyr Projectなどのプロジェクトや組織に影響を与えることが判明しています。
広告。スクロールして記事の続きをお読みください。
Apache Tomcatの開発者、F5、Fastly、Varnishはすでにパッチをリリースしています。他の組織は影響や脆弱性の範囲を調査中です。Mozillaは影響を受けるサービスやウェブサイト向けのパッチを準備中ですが、Firefoxなどのソフトウェアには影響がないと指摘しています。
この脆弱性にはCVE-2025-8671が割り当てられていますが、影響を受けるベンダーの中には独自のCVE識別子を割り当てているところもあります。
ImpervaはMadeYouResetは通常のトラフィックと混ざりやすく、検出がより困難になると指摘しています。同社は、この攻撃が多くの既存防御を回避する可能性があるものの、攻撃を阻止できる複数の緩和策や他のソリューションが存在すると述べています。
翻訳元: https://www.securityweek.com/madeyoureset-http2-vulnerability-enables-massive-ddos-attacks/