Güvenlik araştırmacıları, MadeYoureset (CVE-2025-8671) olarak adlandırılan HTTP/2 uygulamalarında yeni bir hizmet reddi (DOS) güvenlik açığı tespit etmişlerdir. Bu keşif, Web protokolleriyle ilişkili tehditlerde dikkate değer bir yükselmeyi temsil etmektedir.
13 Ağustos 2025’te halka açık olarak açıklanan bu kusur, saldırganların yerleşik eşzamanlılık sınırlarını atlamasına, sınırsız eşzamanlı isteklerle ezici sunucuları ve kaynak tükenmesi yoluyla potansiyel olarak çökmesine izin veriyor.
MadeYoureset, HTTP/2’nin akış iptal mekanizmasını kullanan 2023 Rapid Sıfırlama Güvenlik Açığı’nı (CVE-2023-44487) doğrudan oluşturur.
Hızlı sıfırlamada, saldırganlar istek gönderdiler ve istemci tarafından başlatılan RST_Stream çerçeveleri kullanarak hemen iptal ettiler, sunucuları tipik olarak 100 olarak ayarlayan Max_Concurrent_streams sınırına saymadan yanıtları işlemeye zorladı.
Bu bir uyumsuzluk yarattı: akışlar HTTP/2 katmanında kapalı görünüyordu, ancak arka uç işlemeye devam etti ve saniyede 398 milyondan fazla talepte bulunan büyük DDOS saldırılarını sağladı.
Hızlı sıfırlama için azaltma, istemci tarafından gönderilen RST_Stream çerçevelerini sınırlamaya odaklanmış ve bağlantı başına 100 civarında iptalleri etkili bir şekilde kapatır. Ancak, MadeYoureset bunu kandırarak akıllıca kaldırıyor sunucu bunun yerine RST_Stream çerçeveleri düzenlemeye.
HTTP/2 MakeYoureset Güvenlik Açığı
HTTP/2, ayarlar, window_update ve rst_stream yönetme davranışı gibi kontrol çerçeveleri ile istekler ve yanıtlar için akışlar üzerinden iletilen çerçeveler kullanır. Protokolün max_concurrent_streams parametresi, aktif akışları kapatarak aşırı yüklenmeyi önlemeyi amaçlamaktadır.
MadeYoureset’te saldırganlar, sunucunun işlemeye başladığı, daha sonra geçersiz kontrol çerçeveleri veya sıralama ihlalleri yoluyla protokol hatalarını tetikler.
Bu, sunucuyu hatalar için rst_stream göndermesini ister, arka uç hesaplama devam ederken akışı HTTP/2 görünümünde kapatır. Araştırmacılar, standartlara uyma uygulaması için geçerli olan bu sunucu sıfırlamalarını teşvik etmek için altı RFC uyumlu ilkel belirlediler.
Hemen reddi tetikleyen hatalı biçimlendirilmiş isteklerin aksine (örneğin, arka uç çalışması olmayan 4xx hataları), bu ilkeller sunucunun sıfırlamadan önce ağır işlemeye başlamasını sağlar. Sonuç: Saldırganlar, tüm RST_Stream’i göndermeden, ortak korumalardan kaçan eşzamanlılık sınırlarını aşan taleplerle sunucuları taşırlar.
Güvenlik açığı, düşük maliyetli, yüksek etkili DDOS saldırılarını sağlar. Saldırganlar, fantom isteklerine CPU, bellek ve I/Ç’yi harcarken, çerçeveler göndermek için yeterince bant genişliğine ihtiyaç duyarlar. Testler, etkilenen sistemlerin çoğunun tam DO’lara maruz kaldığını ve bazılarının bellek dışı koşullardan düştüğünü gösteriyor.
Etki sunucu kapasitesine ve hedeflenen kaynaklara göre değişir. Hafif akış yükü (ayrıştırma, durum yönetimi, HPack sıkıştırma) bile ölçekte birikir ve performansı düşürür. Botnet’lerle birleştiğinde, bu Rapid Sıfır’ın rekor kıran saldırılarına rakip olabilir.
Etkilenen projeler Netty (CVE-2025-55163), Apache Tomcat (CVE-2025-48989), F5 BIG-IP (CVE-2025-54500), H2O ve Swift-Nio-HTTP2’dir. 100’den fazla satıcı CERT/CC yoluyla açıklama için koordine edildi.
Satıcılar hemen yamalar önerir: Sabit sürümleri güncelleyin ve sunucu sıfırlamalarında hız sınırlama uygular. Patalanmamış sistemler için max_concurrent_streams’i azaltın veya anormal rst_stream desenlerini izleyin.
Bu kusur, isteğin gönderilmesinin ucuz olduğu ancak işlemenin pahalı olduğu HTTP/2’deki kalıcı asimetrileri vurgular. Web trafiği giderek daha fazla HTTP/2’ye dayandığından, gelişen tehditlere karşı koymak için devam eden protokol iyileştirmeleri şarttır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.