Các nhà nghiên cứu bảo mật vừa công bố một lỗ hổng CVE nghiêm trọng trong giao thức HTTP/2, có khả năng kích hoạt các cuộc tấn công từ chối dịch vụ phân tán (DDoS) quy mô lớn. Lỗ hổng này tiềm ẩn nguy cơ ảnh hưởng đến hàng triệu máy chủ web trên toàn thế giới.

Tổng quan về lỗ hổng CVE MadeYouReset

Lỗ hổng này được đặt tên là “MadeYouReset” và gán mã định danh CVE-2025-8671. Nó đã được công bố công khai vào ngày 13 tháng 8 năm 2025, bởi các nhà nghiên cứu. Họ cảnh báo rằng tác động của nó có thể vượt qua các cuộc tấn công “Rapid Reset” tàn khốc đã xảy ra vào năm 2023.

Lỗ hổng MadeYouReset cho phép kẻ tấn công bỏ qua các giới hạn đồng thời (concurrency limits) được tích hợp sẵn của HTTP/2. Điều này cho phép chúng tạo ra một lượng lớn công việc đồng thời không giới hạn trên các máy chủ mục tiêu, chỉ với tài nguyên tối thiểu.

Kỹ thuật này đại diện cho một sự leo thang đáng kể so với các phương pháp tấn công DDoS truyền thống. Kẻ tấn công có thể làm quá tải máy chủ trong khi sử dụng băng thông và sức mạnh tính toán ít hơn nhiều so với các cuộc tấn công thông thường.

Nghiên cứu về lỗ hổng MadeYouReset được thực hiện bởi chuyên gia bảo mật Gal Bar-Nahum cùng với Giáo sư Anat Bremler-Barr và Yaniv Harel từ Đại học Tel Aviv. Công trình này nhận được sự hỗ trợ một phần từ Imperva.

Đây là một minh chứng rõ ràng cho sự phát triển không ngừng của các mối đe dọa mạng. Các tổ chức cần nâng cao cảnh giác với các lỗ hổng CVE mới được phát hiện.

Cơ chế khai thác: Từ Rapid Reset đến MadeYouReset

Lỗ hổng MadeYouReset được xây dựng trên nền tảng của cuộc tấn công Rapid Reset năm 2023. Tuy nhiên, nó giới thiệu một kỹ thuật tinh vi hơn. Kỹ thuật này giúp nó vượt qua các chiến lược giảm thiểu phổ biến đã được triển khai sau sự cố trước đó.

MAX_CONCURRENT_STREAMS và giới hạn luồng

Giao thức HTTP/2 bao gồm một tham số quan trọng là MAX_CONCURRENT_STREAMS. Tham số này thường được đặt là 100 và có chức năng giới hạn số lượng luồng hoạt động mà một client có thể duy trì đồng thời.

Cơ chế này được thiết kế để ngăn chặn tình trạng quá tải máy chủ do các client độc hại mở quá nhiều yêu cầu đồng thời. Đây là một biện pháp bảo vệ cơ bản trong kiến trúc HTTP/2 để duy trì hiệu suất và tính khả dụng của dịch vụ.

Kỹ thuật RST_STREAM của Rapid Reset

Cuộc tấn công Rapid Reset ban đầu đã khai thác các tính năng hủy yêu cầu của HTTP/2. Kẻ tấn công mở các luồng và sau đó ngay lập tức hủy chúng bằng cách sử dụng các frame RST_STREAM.

Mặc dù các máy chủ vẫn tiếp tục xử lý các yêu cầu đã bị hủy này, nhưng chúng không còn được tính vào giới hạn đồng thời MAX_CONCURRENT_STREAMS. Điều này cho phép kẻ tấn công tạo ra tiềm năng tấn công không giới hạn, vượt qua các biện pháp bảo vệ thông thường.

Đây là một ví dụ điển hình về cách các cuộc tấn công mạng tận dụng những kẽ hở trong thiết kế giao thức.

Kỹ thuật hủy yêu cầu do máy chủ khởi tạo

MadeYouReset áp dụng một cách tiếp cận hoàn toàn khác biệt. Thay vì client tự hủy các yêu cầu, kỹ thuật mới này lừa máy chủ tự động hủy chúng.

Các nhà nghiên cứu đã xác định sáu phương pháp khác nhau để kích hoạt các frame RST_STREAM do máy chủ khởi tạo. Điều này xảy ra trong khi vẫn duy trì quá trình xử lý backend hợp lệ.

Kỹ thuật này hoàn toàn bỏ qua các biện pháp giảm thiểu dựa trên việc đếm frame RST_STREAM đã được triển khai sau cuộc tấn công Rapid Reset. Đây là điểm mấu chốt khiến MadeYouReset trở nên nguy hiểm hơn và khó phát hiện hơn so với phiên bản tiền nhiệm.

Mục tiêu của kẻ tấn công là khiến máy chủ rơi vào trạng thái bão hòa tài nguyên mà không vi phạm rõ ràng giới hạn MAX_CONCURRENT_STREAMS. Điều này đạt được bằng cách tạo ra các luồng mà máy chủ tự động hủy, nhưng quá trình hủy này vẫn tiêu tốn tài nguyên và không giải phóng các giới hạn ban đầu một cách hiệu quả.

Tác động và Biện pháp Giảm thiểu

Lỗ hổng lỗ hổng CVE này ảnh hưởng đến hầu hết tất cả các triển khai tuân thủ HTTP/2. Thử nghiệm của các nhà nghiên cứu cho thấy rằng hầu hết các máy chủ có thể bị đẩy vào tình trạng từ chối dịch vụ hoàn toàn. Nhiều máy chủ thậm chí còn gặp phải sự cố tràn bộ nhớ (out-of-memory crashes).

Hiệu quả của cuộc tấn công phụ thuộc vào dung lượng máy chủ, băng thông của kẻ tấn công và độ phức tạp của tài nguyên mục tiêu. Tuy nhiên, bản chất bất đối xứng của cuộc tấn công khiến hầu hết các triển khai đều dễ bị tổn thương. Điều này có nghĩa là với ít tài nguyên hơn, kẻ tấn công có thể gây ra thiệt hại lớn.

Sự bất đối xứng này làm cho việc phòng thủ trở nên khó khăn hơn nhiều. Các hệ thống phải xử lý lượng công việc lớn hơn đáng kể so với tài nguyên mà kẻ tấn công tiêu thụ. Điều này làm nổi bật tầm quan trọng của việc cập nhật bản vá và các chiến lược bảo mật mạng chủ động.

Khuyến nghị bảo mật khẩn cấp

Các tổ chức đang vận hành máy chủ HTTP/2 cần ngay lập tức xem xét các thông báo từ nhà cung cấp và áp dụng các bản vá lỗi có sẵn để giảm thiểu lỗ hổng CVE nghiêm trọng này.

Việc không cập nhật bản vá có thể dẫn đến nguy cơ cao bị tấn công DDoS, gây gián đoạn dịch vụ nghiêm trọng và tổn thất đáng kể. Đây là một bước thiết yếu để đảm bảo an toàn thông tin và tính liên tục trong hoạt động.

Ngoài ra, các biện pháp bổ sung có thể bao gồm:

• Giám sát lưu lượng HTTP/2: Triển khai các hệ thống giám sát chặt chẽ lưu lượng HTTP/2 để phát hiện các mẫu hành vi bất thường hoặc các yêu cầu hủy luồng không mong muốn.
• Cấu hình WAF/DDoS Protection: Tối ưu hóa các hệ thống Tường lửa ứng dụng web (WAF) và dịch vụ bảo vệ DDoS để nhận diện và chặn các dạng tấn công HTTP/2 bất thường. Mặc dù các kỹ thuật mới có thể vượt qua các biện pháp giảm thiểu cũ, việc liên tục cập nhật quy tắc là cần thiết.
• Đánh giá kiến trúc: Xem xét lại kiến trúc hệ thống và khả năng xử lý đồng thời để đảm bảo nó có thể chịu được các tải bất ngờ hoặc các cuộc tấn công tinh vi.

Để biết thêm thông tin chi tiết về nghiên cứu này, bạn có thể tham khảo công bố của Gal Bar-Nahum tại galbarnahum.com/posts/made-you-reset-intro.

Đây là một cảnh báo nghiêm trọng về mối đe dọa mạng mới, đòi hỏi sự chú ý và hành động kịp thời từ cộng đồng an ninh mạng.