Güvenlik araştırmacıları, HTTP/2 protokolünde, dünya çapında milyonlarca web sunucusunu potansiyel olarak etkileyen büyük dağıtılmış hizmet reddi (DDOS) saldırılarını sağlayabilecek kritik bir güvenlik açığı açıkladılar.
“MadeYoureset” olarak adlandırılan ve CVE-2025-8671 atanan kusur, 13 Ağustos 2025’te 2023’ten itibaren yıkıcı “hızlı sıfırlama” saldırılarının etkisini aşabileceği konusunda uyaran araştırmacılar tarafından herkese açık olarak açıklandı.
Güvenlik Açığı Genel Bakış
MadeYoureset güvenlik açığı, saldırganların HTTP/2’nin yerleşik eşzamanlılık sınırlarını atlamasına izin vererek, minimum kaynaklarla hedef sunucularda sınırsız eşzamanlı çalışma oluşturmalarını sağlar.
Bu, geleneksel DDOS yöntemlerinden önemli bir artışı temsil eder, çünkü saldırganlar geleneksel saldırılardan çok daha az bant genişliği ve hesaplama gücü kullanırken sunucuları ezebilir.
| Proje | CVE |
| Genel HTTP/2 | CVE-2025-8671 |
| Netty | CVE-2025-55163 |
| Apache Tomcat | CVE-2025-48989 |
| F5 Big-IP | CVE-2025-54500 |
| H2O | CVE-2025-8671 |
| Swift-nio-http2 | Askıda olması |
Araştırma, Imperva’dan kısmi destekle, Güvenlik Uzmanı Gal Bar-Nahum Profesör Anat Bremler-Barr ve Tel Aviv Üniversitesi’nden Yaniv Harel tarafından ortaklaşa gerçekleştirildi.
Güvenlik açığı, 2023’ün hızlı sıfırlama saldırısının temelini oluşturur, ancak bir önceki olaydan sonra konuşlandırılan ortak azaltma stratejilerini atlatan akıllı bir bükülme getirir.
Rapid Attack TestHTTP/2, bir istemcinin aynı anda koruyabileceği aktif akış sayısını sınırlayan tipik olarak 100 olarak ayarlanan max_concurrent_streams adlı bir parametre içerir.
Bu mekanizma, çok fazla eşzamanlı istek açan kötü niyetli istemcilerden sunucunun aşırı yüklenmesini önlemek için tasarlanmıştır.
Orijinal hızlı sıfırlama saldırısı, istek iptal özelliklerini kullanır, saldırganların akışları açmasına ve RST_Stream çerçevelerini kullanarak hemen iptal etmesini sağlar.
Sunucular iptal edilen bu istekleri işlemeye devam ederken, artık eşzamanlılık sınırına doğru sayılmadılar ve sınırsız saldırı potansiyelini sağladılar.
MadeYoureset tamamen farklı bir yaklaşım benimser. İstemci iptal etme istekleri yerine, yeni teknik sunucuyu otomatik olarak iptal etmek için kandırır.
Araştırmacılar, geçerli arka uç işlemini sürdürürken, hızlı sıfırlamadan sonra uygulanan rst_stream sayma azaltmalarını tamamen atlayarak sunucu tarafından başlatılan RST_Stream çerçevelerini tetiklemek için altı farklı yöntem belirlediler.
Güvenlik açığı neredeyse tüm HTTP/2 uyumlu uygulamaları etkiler. Testler, çoğu sunucunun tam hizmet reddi haline getirilebileceğini ve birçoğunun bellek dışı kazalar yaşadığını ortaya koyuyor.
Saldırının etkinliği sunucu kapasitesine, saldırgan bant genişliğine ve hedef kaynak karmaşıklığına bağlıdır, ancak saldırının asimetrik doğası çoğu uygulamayı savunmasız hale getirir.
HTTP/2 sunucuları çalıştıran kuruluşlar, satıcı tavsiyelerini derhal gözden geçirmeli ve bu kritik güvenlik açığını azaltmak için mevcut yamaları uygulamalıdır.
AWS Security Services: 10-Point Executive Checklist - Download for Free