Một lỗ hổng CVE nghiêm trọng mới được phát hiện trong nhiều triển khai HTTP/2 đã phơi bày một lỗ hổng cấp độ giao thức nguy hiểm. Lỗ hổng này cho phép các tác nhân đe dọa thực hiện các cuộc tấn công DoS (Denial-of-Service) và DDoS (Distributed Denial-of-Service) mạnh mẽ.

Tổng quan về MadeYouReset (CVE-2025-8671)

Lỗ hổng này được theo dõi dưới mã định danh CVE-2025-8671 và thường được gọi là “MadeYouReset”. Nó khai thác sự không tương thích cơ bản giữa đặc tả HTTP/2 và các triển khai máy chủ trong thực tế.

Các nhà nghiên cứu bảo mật từ Đại học Tel Aviv—Gal Bar Nahum, Anat Bremler-Barr và Yaniv Harel—đã khám phá ra lỗ hổng này. Đây là một sự phát triển đáng lo ngại của các cuộc tấn công tương tự đã gây ảnh hưởng đến internet trong nhiều năm qua.

MadeYouReset đại diện cho một mối đe dọa mạng tiềm ẩn, cho thấy các triển khai HTTP/2 đã thất bại một cách có hệ thống trong việc quản lý vòng đời của các sự kiện reset luồng.

Cơ chế khai thác lỗ hổng

Lỗ hổng này hoạt động bằng cách lạm dụng các sự kiện reset luồng do máy chủ gửi đi. Điều này tạo ra sự khác biệt giữa số lượng luồng HTTP/2 hoạt động mà máy chủ cho rằng đang xử lý và số lượng yêu cầu HTTP thực tế mà phần backend đang xử lý.

Khi một kẻ tấn công kích hoạt reset máy chủ một cách nhanh chóng bằng cách sử dụng các frame bị lỗi hoặc lỗi kiểm soát luồng, giao thức xem các luồng đã reset này là đã đóng và không hoạt động.

Tuy nhiên, các máy chủ backend vẫn tiếp tục xử lý các yêu cầu bất chấp việc reset luồng. Điều này cho phép kẻ tấn công buộc một kết nối duy nhất phải xử lý một số lượng yêu cầu HTTP/2 đồng thời không giới hạn.

Sự thiếu sót kiến trúc cơ bản này biến tính năng hủy luồng thành một vũ khí gây cạn kiệt tài nguyên. HTTP/2 đã giới thiệu khả năng hủy luồng, cho phép cả máy khách và máy chủ đóng luồng bất kỳ lúc nào trong quá trình giao tiếp. Bạn có thể tìm hiểu thêm về các tính năng của HTTP/2 tại CERT/CC.

HTTP/2 và Giới hạn luồng đồng thời

HTTP/2 bao gồm tham số SETTINGS_MAX_CONCURRENT_STREAMS. Tham số này được thiết kế để ngăn chặn chính xác loại tấn công này bằng cách giới hạn số lượng luồng hoạt động trên mỗi phiên.

Về lý thuyết, biện pháp bảo vệ này phải bảo vệ máy chủ khỏi bị quá tải bởi các yêu cầu luồng độc hại.

Tuy nhiên, lỗ hổng CVE-2025-8671 khai thác một điểm yếu nghiêm trọng trong triển khai: khi máy chủ reset các luồng do kẻ tấn công khởi tạo, hệ thống kế toán giao thức sẽ đánh dấu các luồng này là đã đóng và không còn tính chúng vào giới hạn luồng đồng thời. Trong khi đó, quá trình xử lý backend vẫn tiếp tục không ngừng.

Bằng cách liên tục gửi các yêu cầu reset, kẻ tấn công thao túng máy chủ để xử lý nhiều yêu cầu hơn mức cho phép của bất kỳ tham số an toàn nào. Giao thức xem đây là các luồng đã đóng, không hoạt động, nhưng backend của máy chủ vẫn tiếp tục xử lý chúng, cuối cùng dẫn đến tình trạng cạn kiệt tài nguyên nghiêm trọng.

Tùy thuộc vào các đặc điểm triển khai, nạn nhân có thể gặp phải tình trạng quá tải CPU thảm khốc hoặc cạn kiệt bộ nhớ nghiêm trọng. Điều này làm cho việc cập nhật bản vá trở nên cấp thiết.

So sánh với Rapid Reset (CVE-2023-44487)

MadeYouReset có nhiều điểm tương đồng với CVE-2023-44487, thường được gọi là “Rapid Reset”, khai thác các sự kiện reset luồng do máy khách gửi đi.

Sự liên tục của các loại lỗ hổng này cho thấy rằng các triển khai HTTP/2 đã thất bại một cách có hệ thống trong việc quản lý vòng đời của các sự kiện reset luồng một cách đúng đắn. Việc hiểu rõ lỗ hổng CVE này giúp phòng tránh các cuộc tấn công mạng trong tương lai.

Các nhà cung cấp bị ảnh hưởng và bản vá

Thông báo chỉ ra rằng nhiều nhà cung cấp và dự án lớn bị ảnh hưởng, bao gồm:

• Apache Tomcat
• Mozilla
• Red Hat
• SUSE Linux
• Netty
• gRPC
• Fastly
• Varnish Software
• Eclipse Foundation
• AMPHP

Nhiều nhà cung cấp trong số này đã phát hành các bản vá hoặc tuyên bố công khai để giải quyết lỗ hổng. Apache Tomcat đặc biệt đã nhận được CVE-2025-48989 để mô tả triển khai lỗ hổng này của họ.

Trung tâm Điều phối Nhóm Ứng cứu Khẩn cấp Máy tính (CERT/CC) đã khuyến nghị các nhà cung cấp triển khai các giới hạn nghiêm ngặt hơn về số lượng và tốc độ của các frame RST_STREAM được gửi từ máy chủ, cùng với việc xem xét toàn diện các triển khai HTTP/2 của họ.

Khuyến nghị và biện pháp giảm thiểu

Các tổ chức đang chạy cơ sở hạ tầng HTTP/2 bị ảnh hưởng nên ưu tiên cập nhật bản vá ngay lập tức. Tiềm năng DDoS của lỗ hổng này khiến nó đặc biệt hấp dẫn đối với các tác nhân đe dọa đang tìm cách thực hiện các cuộc tấn công quy mô lớn chống lại cơ sở hạ tầng quan trọng.

Các nhóm bảo mật nên tham khảo các khuyến cáo của nhà cung cấp, áp dụng các bản vá có sẵn và cân nhắc triển khai các kiểm soát giới hạn tốc độ bổ sung trên các frame reset cho đến khi các bản vá được triển khai.

Việc hiểu rõ cơ chế của lỗ hổng CVE-2025-8671 là rất quan trọng để đưa ra các biện pháp phòng ngừa hiệu quả. Thông tin kỹ thuật chi tiết hơn và các chiến lược giảm thiểu có sẵn thông qua tài liệu bổ sung từ các nhà báo cáo lỗ hổng.

Để theo dõi thông tin mới nhất về các bản vá bảo mật và các lỗ hổng khác, hãy truy cập National Vulnerability Database (NVD).