كشف باحثون في مجال الأمن السيبراني عن ثغرة خطيرة في بروتوكول HTTP/2 أُطلق عليها اسم MadeYouReset، يمكن استغلالها لتنفيذ هجمات حجب الخدمة (DoS) على نطاق واسع، ما يهدد استقرار العديد من الخوادم والبنى التحتية الرقمية حول العالم.
كيف تعمل ثغرة MadeYouReset
أوضح الباحثون أن هذه الثغرة تتجاوز الحد المعتاد الذي تفرضه الخوادم والمحدد بـ 100 طلب متزامن عبر اتصال TCP واحد، وهو الإجراء المستخدم عادة للتخفيف من مخاطر هجمات DoS. إلا أن MadeYouReset تمكّن المهاجمين من إرسال آلاف الطلبات في آن واحد، مما يؤدي إلى إيقاف الخدمة أمام المستخدمين الشرعيين، بل وفي بعض الحالات تتسبب بانهيار الخوادم نتيجة استنزاف الذاكرة.
وقد حصلت الثغرة على المعرف CVE-2025-8671، فيما تأثرت بها عدة منتجات بارزة، مثل Apache Tomcat (CVE-2025-48989) وF5 BIG-IP (CVE-2025-54500) وNetty (CVE-2025-55163).
استغلال البروتوكول وتجاوز آليات الحماية
تشبه هذه الهجمة ثغرات سابقة مثل Rapid Reset (CVE-2023-44487) وHTTP/2 CONTINUATION Flood، إذ تعتمد على استغلال إطار RST_STREAM في بروتوكول HTTP/2. لكن خطورتها تكمن في أنها تبني على الثغرات السابقة وتتجاوز آليات الحماية الموضوعة، من خلال استغلال حقيقة أن إطار RST_STREAM يُستخدم لإلغاء الطلبات من طرف العميل وكذلك للإبلاغ عن الأخطاء.
يقوم المهاجمون بإرسال إطارات مصممة بدقة لإحداث خرق في البروتوكول، مما يدفع الخادم إلى إعادة تعيين التدفق (reset stream) بينما يواصل المعالج الخلفي تنفيذ الطلب، وهو ما يؤدي إلى استنزاف الموارد.
أساليب الهجوم التي يعتمد عليها MadeYouReset
حدد الباحثون ستة أساليب أولية يمكن من خلالها إجبار الخادم على إرسال إطارات RST_STREAM، منها:
-
إرسال إطار WINDOW_UPDATE بزيادة تساوي صفر
-
إرسال إطار PRIORITY بطول غير صحيح
-
جعل التدفق يعتمد على نفسه
-
إرسال إطار WINDOW_UPDATE يتجاوز الحجم الأقصى المسموح به
-
إرسال إطار HEADERS بعد إغلاق التدفق
-
إرسال إطار DATA بعد إغلاق التدفق
هذه الآليات تسمح للمهاجم بتنفيذ نفس أثر هجوم Rapid Reset لكن دون الحاجة لاستخدام إطار RST_STREAM من طرف العميل، ما يجعل الهجوم أكثر فاعلية وخطورة.
تحذيرات المؤسسات الأمنية
ذكر مركز تنسيق الاستجابة للحوادث (CERT/CC) أن الثغرة تستغل تعارضًا بين مواصفات HTTP/2 والبنى الداخلية للعديد من خوادم الويب، وهو ما يؤدي إلى استنزاف الموارد وإمكانية تعطيل الخدمة. من جهتها، شددت شركة Imperva على أن تعقيد استغلال البروتوكولات الحديثة يفرض أهمية قصوى على تأمين HTTP/2 ضد مثل هذه الهجمات الدقيقة والمتوافقة شكليًا مع المواصفات.
مخاطر متزامنة مع بروتوكول HTTP/1.1
تأتي هذه التطورات في الوقت الذي كشفت فيه شركة PortSwigger عن هجمات جديدة على بروتوكول HTTP/1.1 تعرف باسم هجمات إلغاء التزامن (HTTP Request Smuggling)، ومنها ثغرة 0.CL، والتي تهدد ملايين المواقع حول العالم. ورغم أن بروتوكول HTTP/2 يقلل من هذه المخاطر عبر إزالة الغموض في معالجة الطلبات، إلا أن الباحثين أكدوا أن مجرد تفعيل HTTP/2 على الخوادم لا يكفي، بل يجب استخدامه أيضًا في الاتصالات بين الوكيل العكسي (reverse proxy) والخادم الأصلي.
استجابة الشركات المزودة للخدمات
بعد الكشف عن ثغرة MadeYouReset، سارعت عدة شركات إلى إصدار تحديثات ومعالجات أمنية، من بينها Akamai، Cloudflare، Fastly، LiteSpeed، Varnish Cache، Eclipse Vert.x، H2O، hyper h2، Claris FileMaker، في محاولة لتقليل آثار الهجمات المحتملة.
