Специалисты “Нейроинформ” нашли новую уязвимость

Специалисты компании «Нейроинформ» обнаружили новую уязвимость MadeYouReset, которая может использоваться хакерами для запуска DDoS-атак. На данный момент ИБ-специалисты принимают меры по созданию надежной защиты от данной угрозы, однако риски еще сохраняются. Об этом представители компании рассказали редакции IT Speaker.

Уязвимость MadeYouReset, имеющая идентификатор CVE-2025-8571, впервые была обнаружена израильскими экспертами, а в дальнейшем ИБ-специалистами из других стран. Данная уязвимость затрагивает ряд веб-серверов, которые некорректно реализуют механизмы протокола HTTP/2, что в дальнейшем может привести к атаке DoS. MadeYouReset фундаментально похожа на уже известную уязвимость Rapid Reset (CVE-2023-44487) от 2023 года и эксплуатирует тот же самый механизм сброса потоков (streams reset) в протоколе HTTP/2.

В рамках протокола HTTP/2 браузер и веб-сайт (сервер) устанавливает двусторонний поток, по которому они обмениваются запросами и ответами в виде кадров. Браузер или веб-сайт в любой момент могут отправить кадр RST_STREAM, который сообщает о прекращении взаимодействия между сторонами. Например, это может понадобиться, если одна из сторон начала получать данные с ошибками. Согласно HTTP/2, сервер может установить ограничение на количество потоков, которые одновременно может открыть браузер. 

Однако, если был отправлен кадр RST_STREAM, серверу нужно еще какое-то время для завершения процессов на своей стороне, и у браузера есть возможность открыть новый поток. Отправляя кадр RST_STREAM и одновременно открывая новый поток, можно перегрузить ресурсы сервера и заставить его отказывать в обслуживании всем новым браузерам. 

После обнаружения уязвимости Rapid Reset (CVE-2023-44487), большинство веб-серверов, особенно крупных вендоров, уже реализовали защиту от подобного вида атак. Стоит отметить, что спецификация HTTP/2 (RFC 9113) изначально содержала предупреждение о возможности таких атак, а также рекомендации по их предотвращению. Несмотря на это, некоторые реализации протокола HTTP/2 оказались подвержены уязвимостям.

Ранее специалисты BI.ZONE провели исследование теневых ресурсов «Threat Zone 2025: обратная сторона». В нем эксперты изучили, насколько инфраструктура компаний устойчива к методам и инструментам, обсуждаемым на теневых площадках.