13 Ağustos 2025 | CVSS 9.8 | Kritik Seviye
Yeni keşfedilen MadeYouReset zafiyeti, HTTP/2 protokolünü kullanan sunucuları hedef alan yüksek etkili DDoS saldırıları gerçekleştirmeye imkan tanıyor. Bu açık, 2023’teki Rapid Reset saldırılarının etkisini aşabilecek nitelikte.
Açığın Özeti
CVE-2025-8671 zafiyeti, HTTP/2 implementasyonlarında sunucu taraflı RST_STREAM (stream reset) işlemlerinin backend’de işlenmeye devam etmesi sonucu oluşuyor. Bu durum, protokolün concurrency limitleri ile sunucu kaynaklarının yanlış yönetimi arasındaki farktan kaynaklanıyor.
| Proje | CVE |
|---|---|
| General HTTP/2 | CVE-2025-8671 |
| Netty | CVE-2025-55163 |
| Apache Tomcat | CVE-2025-48989 |
| F5 BIG-IP | CVE-2025-54500 |
| H2O | CVE-2025-8671 |
| Swift-NIO-HTTP2 | Pending |
Açık, özellikle HTTP/2’nin MAX_CONCURRENT_STREAMS parametresi kullanıldığında ortaya çıkıyor. Saldırganlar sunucuyu, sunucunun kendi başlattığı stream reset işlemlerini kullanarak aşırı yük altına sokabiliyor. Bu yöntemle sunucu, protokol tarafından kapatıldığı düşünülen stream’leri işlemeye devam ediyor ve kaynak tüketimi artıyor.
Teknik Detaylar ve Sömürü Yöntemi
Sunucu-Taraflı Reset Exploit Mekanizması
- Target Belirleme: HTTP/2 compliant sunucular tespit edilir
- Malicious Stream Açma: Çoklu HTTP/2 stream başlatılır
- Server-Initiated Reset Tetikleme: Sunucu hatalı frame veya flow control hatası ile reset’i tetikler
- Backend Processing: Sunucu backend’de stream’i işlemeye devam eder
- Kaynak Tüketimi: CPU/memory aşırı yüklenir → DDoS etkisi oluşur
Sömürü Örneği
:method: GET
:path: /example
:scheme: https
:authority: target-server.com
# Malformed frame veya flow control hatası gönderilerek server-initiated RST_STREAM tetiklenir
Bu işlem, sunucunun aynı anda çok sayıda “reset” stream’i işlemeye devam etmesini sağlar ve out-of-memory crash veya CPU overload ile hizmet aksamasına yol açar.
Etkilenen Sistemler ve Sürümler
| Ürün | CVE | Risk Durumu |
|---|---|---|
| General HTTP/2 | CVE-2025-8671 | Vulnerable |
| Netty | CVE-2025-55163 | Vulnerable |
| Apache Tomcat | CVE-2025-48989 | Vulnerable |
| F5 BIG-IP | CVE-2025-54500 | Vulnerable |
| H2O | CVE-2025-8671 | Vulnerable |
| Swift-NIO-HTTP2 | Pending | Potansiyel Risk |
Önemli: Tüm HTTP/2 compliant sunucular teorik olarak etkilenebilir. Etkinlik, sunucu kapasitesi, saldırgan bant genişliği ve hedefin kaynak karmaşıklığına bağlıdır.
Tespit ve Kontrol Yöntemleri
# HTTP/2 implementation ve MAX_CONCURRENT_STREAMS kontrolü
curl -I --http2 https://target-server.com
nmap -p 443 --script http2-check target_ip
# Sistem loglarını izleme
tail -f /var/log/nginx/error.log | grep -E "(RST_STREAM|stream reset)"
Geçici Çözümler ve Mitigasyon
- Vendor Patch Uygulama: Tüm güncellemeler uygulanmalı
- RST_STREAM Rate Limiting: Sunucudan giden reset frame’leri sınırlandırılmalı
- Backend Processing Audit: HTTP/2 backend işleme mantığı gözden geçirilmeli
- Kaynak İzleme: CPU ve memory kullanım sınırları konfigüre edilmeli
Kalıcı Çözüm: Yazılım Güncellemeleri
Mevcut Advisory ve Patchler
- Netty, Apache Tomcat, F5 BIG-IP, H2O: Vendor tarafından yayınlanan yamalar uygulanmalı
- Swift-NIO-HTTP2: Pending, güncellemeler takip edilmeli
Risk Değerlendirmesi
MadeYouReset’in başarılı bir şekilde istismarı durumunda:
- Sunucular tamamen offline olabilir
- CPU ve memory aşırı yüklenir → hizmet kesintisi
- Kritik servisler DDoS nedeniyle kullanılamaz hale gelebilir
Sonuç
CVE-2025-8671, HTTP/2 protokolü üzerinde ciddi bir DDoS riski oluşturmaktadır. Sunucuların vendor yamaları uygulanana kadar kritik kaynak izleme ve RST_STREAM sınırlamaları ile korunması önerilir.
Acil Eylem: HTTP/2 sunucularını yöneten ekipler, vendor advisory’leri derhal incelemeli ve güvenlik yamalarını uygulamalıdır.
About the Author
