CSIRT Toscana MadeYouReset: rilevate vulnerabilità nel protocollo HTTP/2 (BL01/250818/CSIRT-ITA)
Data:
18 Agosto 2025 16:15
Impatto Sistemico
Critico (76.28)
Sintesi
È stata recentemente analizzata la vulnerabilità CVE-2025-8671 , nota col nome di “MadeYouReset”, che riguarda l’implementazione del protocollo HTTP/2 e potrebbe consentire attacchi di tipo “Denial of Service”.
Note : un Proof of Concept (PoC) per lo sfruttamento della CVE-2025-8671 risulta disponibile in rete.
Tipologia
- Denial of Service
Descrizione
È stata recentemente analizzata la vulnerabilità CVE-2025-8671 , nota col nome di “MadeYouReset”, che riguarda l’implementazione del protocollo HTTP/2 e potrebbe consentire attacchi di tipo “Denial of Service”.
La vulnerabilità è legata all’uso dei frame RST_STREAM, utilizzati per resettare/interrompere un flusso di dati tra client e server o per segnalare un errore o una condizione anomala nel flusso, e sfrutta un disallineamento tra le specifiche del protocollo HTTP/2 e il comportamento reale di molte implementazioni server. In particolare, quando un client apre numerosi flussi e poi li resetta rapidamente utilizzando frame RST_STREAM, il server considera quei flussi come chiusi dal punto di vista del protocollo. Tuttavia, molte implementazioni continuano comunque a elaborare le richieste associate a quei flussi, consumando risorse di calcolo e memoria.
Questo comportamento può essere sfruttato da un utente malevolo per generare un numero virtualmente illimitato di richieste concorrenti su una singola connessione HTTP/2, superando i limiti imposti dal parametro SETTINGS_MAX_CONCURRENT_STREAMS, che definisce il numero massimo di flussi attivi per sessione. In teoria, questo parametro dovrebbe impedire il sovraccarico del server, ma in pratica, quando un flusso viene resettato, il protocollo non lo considera più attivo e non lo include nel conteggio. Il risultato è un esaurimento delle risorse del server, che può portare a rallentamenti gravi o all’interruzione completa del servizio.
Alcuni vendor hanno identificato la vulnerabilità nei propri prodotti tramite apposite CVE riconducibili alla suddetta CVE-2025-8671 , in particolare si riportano alcune implementazioni software note, per le quali i rispettivi vendor/sviluppatori stanno provvedendo a rilasciare i relativi aggiornamenti di sicurezza:
- Apache Tomcat: CVE-2025-48989 (già trattata da questo CSIRT nell’ambito dell’ AL03/250814/CSIRT-ITA )
- F5 BIG-IP: CVE-2025-54500 (già trattata da questo CSIRT nell’ambito dell’ AL01/250818/CSIRT-ITA )
- Netty: CVE-2025-55163
Azioni di mitigazione
Ove non provveduto, si consiglia di verificare la disponibilità di aggiornamenti di sicurezza per i prodotti in uso che utilizzano il protocollo HTTP/2.
In attesa di aggiornamenti specifici, si suggerisce di valutare le seguenti azioni di mitigazione:
- Cancellazione end-to-end: assicurarsi che il lavoro del backend venga interrotto completamente quando un flusso viene resettato o cancellato
- Limitare le richieste HTTP attive nel backend: mantenere un limite separato per le richieste HTTP in corso nel backend, indipendente dal parametro MAX_CONCURRENT_STREAMS di HTTP/2, in modo che le richieste continuino a essere conteggiate anche se i flussi HTTP/2 vengono resettati o cancellati. Se un client si comporta in modo anomalo, chiudere la connessione
- Limitare i reset dei flussi iniziati dal server in HTTP/2: limitare il numero di reset (RST_STREAM) avviati dal server per ogni connessione
Riferimenti
- https://kb.cert.org/vuls/id/767506
- https://github.com/h2o/h2o/security/advisories/GHSA-mrjm-qq9m-9mjq
- https://galbarnahum.com/made-you-reset
CVE
| CVE-ID | |||
|---|---|---|---|
| CVE-2025-48989 | CVE-2025-54500 | CVE-2025-55163 | CVE-2025-8671 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 18-08-2025 | 18/08/2025 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link