Investigadores de Google y Cloudflare han revelado una vulnerabilidad crítica en el protocolo HTTP/2, bautizada como “MadeYouReset” (CVE-2025-25063), que ya está siendo aprovechada para lanzar ataques DDoS a gran escala. La falla afecta a múltiples implementaciones del protocolo y se basa en la manipulación de stream resets, lo que permite a un atacante amplificar el tráfico y consumir de forma desproporcionada los recursos del servidor.
¿Cómo funciona MadeYouReset?
El ataque explota la gestión de flujos en HTTP/2, enviando múltiples solicitudes con reset frames que obligan al servidor a reiniciar procesos de manera continua. El resultado es un agotamiento rápido de CPU y memoria, abriendo la puerta a ataques distribuidos capaces de colapsar infraestructuras críticas en segundos.
Google explicó que, en pruebas de laboratorio, un atacante con un ancho de banda limitado fue capaz de generar un efecto de denegación de servicio con miles de veces más impacto del que su capacidad real permitiría.
Impacto en la infraestructura
La vulnerabilidad afecta a una amplia gama de servidores y servicios que utilizan HTTP/2, desde aplicaciones web empresariales hasta grandes proveedores en la nube. Dada su facilidad de explotación, la CISA ha incluido la falla en su catálogo de vulnerabilidades activamente explotadas, instando a una actualización inmediata.
Medidas de mitigación
- Aplicar parches a servidores y librerías HTTP/2 tan pronto como estén disponibles.
- Implementar límites de solicitudes por conexión, para reducir la superficie de ataque.
- Desplegar sistemas de mitigación DDoS que monitoricen patrones anómalos de tráfico.
- Considerar temporalmente deshabilitar HTTP/2 en entornos críticos donde no sea esencial.
Reflexión
MadeYouReset recuerda que, aunque HTTP/2 fue diseñado para optimizar el rendimiento de la web moderna, sus mecanismos de multiplexación y gestión de flujos también pueden convertirse en armas de gran alcance cuando no están correctamente protegidos. El equilibrio entre eficiencia y seguridad en protocolos de Internet vuelve a ponerse a prueba, obligando a proveedores y administradores a reaccionar con rapidez.
Más información
- SecurityWeek – ‘MadeYouReset’ HTTP/2 Vulnerability Enables Massive DDoS Attacks
- Cloudflare – Technical Analysis of MadeYouReset Attacks
Deja una respuesta