در روزهای اخیر، آسیبپذیری جدید و مهمی در پیادهسازیهای پروتکل HTTP/2 شناسایی شده که با نام MadeYouReset شناخته میشود. این ضعف امنیتی امکان اجرای حملات عدم دسترسی به سرویس یا همان حملات DoS در مقیاس وسیع را فراهم میکند و نگرانیهای گستردهای را در میان جامعه امنیت سایبری به وجود آورده است.
این آسیبپذیری با شناسه CVE-2025-8671 ثبت شده و بر اساس گزارشهای منتشرشده، محصولات مختلفی از جمله Apache Tomcat، F5 BIG-IP و Netty تحت تأثیر آن قرار گرفتهاند. اهمیت این مشکل در آن است که محدودیت استاندارد ۱۰۰ درخواست همزمان در هر اتصال TCP در پروتکل HTTP/2 را دور میزند و به مهاجم اجازه میدهد هزاران درخواست پیدرپی ارسال کند. این اتفاق میتواند موجب مصرف بیشازحد منابع سرور، اختلال جدی در خدمات و حتی توقف کامل سرویس شود.
MadeYouReset پس از حملات معروفی مانند Rapid Reset و CONTINUATION Flood به عنوان یکی از پیچیدهترین حملات علیه HTTP/2 مطرح شده است. تفاوت اصلی این حمله با نمونههای قبلی در آن است که مهاجم دیگر نیازی به ارسال مستقیم فریمهای RST_STREAM ندارد، بلکه سرور با دریافت فریمهای دستکاریشده خود اقدام به ارسال این فریمها کرده و در عمل به سود مهاجم عمل میکند.
تحقیقات انجامشده نشان داده است که مهاجمان میتوانند با استفاده از چندین تکنیک مختلف، سرور را مجبور به بازنشانی استریمها کنند. برخی از این روشها شامل ارسال فریم WINDOW_UPDATE با مقدار صفر، ارسال فریم PRIORITY با طول نادرست، وابسته کردن یک استریم به خودش، ارسال فریمهایی که اندازه پنجره را به بیش از مقدار مجاز میرساند، و همچنین ارسال فریمهای HEADERS یا DATA پس از بسته شدن استریم توسط کلاینت است. این مجموعه از تاکتیکها باعث میشود سرور منابع خود را بهطور غیرضروری مصرف کرده و در نهایت در معرض حملات DoS قرار گیرد.
پژوهشگران امنیتی این آسیبپذیری را بسیار خطرناک ارزیابی کردهاند زیرا اجرای آن به دانش تخصصی زیادی نیاز ندارد و در صورت بهرهبرداری، میتواند به راحتی زیرساختهای حیاتی اینترنتی را هدف قرار دهد. در حالی که برخی شرکتها و سرویسدهندگان بزرگ اقدامات پیشگیرانهای برای کاهش خطر این نوع حملات انجام دادهاند، اما بسیاری از سرویسها و نرمافزارهایی که از HTTP/2 استفاده میکنند هنوز در معرض خطر هستند.
به گفته کارشناسان امنیتی، این نقص نتیجه وجود اختلاف بین پیادهسازیهای مختلف HTTP/2 و مستندات رسمی این پروتکل است. همین عدم هماهنگی باعث میشود مهاجمان بتوانند شرایطی ایجاد کنند که سرور برخلاف انتظار عمل کرده و بهطور ناخواسته منابع خود را از دست بدهد.
برای مقابله با این تهدید، ارائهدهندگان نرمافزار و شرکتهای فناوری بهسرعت در حال آمادهسازی و انتشار وصلههای امنیتی هستند. مجموعهای از شرکتهای بزرگ از جمله ارائهدهندگان زیرساخت ابری و نرمافزارهای متنباز، بهروزرسانیهایی را منتشر کردهاند تا پیادهسازیهای HTTP/2 خود را در برابر MadeYouReset مقاوم کنند. این وصلهها شامل تغییرات در نحوه پردازش فریمهای مشکوک و محدودسازی رفتارهایی است که میتواند سرور را به بازنشانی اجباری استریمها وادار کند.
در همین حال، کارشناسان توصیه میکنند مدیران سیستمها و مسئولان امنیت شبکه بهسرعت سرورهای خود را بررسی کرده و در صورت نیاز، وصلههای امنیتی جدید را اعمال کنند. علاوه بر این، محدودسازی تعداد درخواستها، مانیتورینگ فعال برای شناسایی رفتارهای غیرعادی در ترافیک شبکه و استفاده از سرویسهای حفاظتی ضد DDoS میتواند در کاهش خطر ناشی از این آسیبپذیری مؤثر باشد.
کشف MadeYouReset نشان میدهد که همچنان پروتکلهای حیاتی اینترنت مانند HTTP/2 در معرض تهدیدهای پیچیده و پیشرفته قرار دارند و مهاجمان با بهرهبرداری از کوچکترین ناهماهنگیها قادرند حملات گسترده و مخربی اجرا کنند. این موضوع بار دیگر اهمیت بهروزرسانی مداوم سیستمها، استفاده از راهکارهای امنیتی چندلایه و همکاری نزدیک جامعه امنیتی و شرکتهای فناوری را برای مقابله با تهدیدات روزافزون سایبری یادآور میشود.
