Especialistas de Google y Cloudflare identificaron una falla grave en el protocolo HTTP/2, llamada “MadeYouReset” (CVE-2025-25063), que está siendo utilizada para realizar ataques masivos de denegación de servicio (DDoS). Esta vulnerabilidad impacta diversas implementaciones del protocolo y se aprovecha mediante la manipulación de reset de streams, lo que facilita a los atacantes amplificar el tráfico y agotar excesivamente los recursos del servidor.
¿Cómo opera MadeYouReset?
El ataque aprovecha la manera en que HTTP/2 maneja los flujos, enviando múltiples solicitudes con frames de reseteo que fuerzan al servidor a reiniciar procesos constantemente. Esto provoca un rápido consumo de CPU y memoria, facilitando ataques distribuidos capaces de paralizar infraestructuras críticas en cuestión de segundos.
Durante pruebas en laboratorio, Google demostró que un atacante con ancho de banda limitado pudo generar un impacto de denegación de servicio miles de veces mayor que su capacidad real.
Consecuencias para la infraestructura
Esta vulnerabilidad afecta a numerosos servidores y servicios que utilizan HTTP/2, desde aplicaciones empresariales hasta grandes proveedores en la nube. Debido a la facilidad con que puede ser explotada, la CISA ha incluido esta falla en su lista de vulnerabilidades activamente atacadas, recomendando la actualización inmediata de los sistemas afectados.
La vulnerabilidad identificada como CVE-2025-8671, ha afectado a proyectos y organizaciones como AMPHP, Apache Tomcat, la Fundación Eclipse, F5, Fastly, gRPC, Mozilla, Netty, Suse Linux, Varnish Software, Wind River y Zephyr Project.
Recomendaciones para mitigar el riesgo
- Instalar parches disponibles para servidores y librerías HTTP/2 lo antes posible.
- Configurar límites en la cantidad de solicitudes por conexión para disminuir la superficie de ataque.
- Implementar soluciones de mitigación DDoS que detecten patrones anómalos en el tráfico.
- Evaluar la desactivación temporal de HTTP/2 en entornos críticos donde su uso no sea indispensable.
MadeYouReset evidencia que, pese a que HTTP/2 fue diseñado para mejorar el rendimiento de la web moderna, sus funciones de multiplexación y control de flujos pueden convertirse en vectores de ataque si no se implementan adecuadamente las medidas de seguridad. Esto subraya la constante necesidad de equilibrar eficiencia y protección en los protocolos de Internet, obligando a proveedores y administradores a actuar con rapidez.
Fuente: https://unaaldia.hispasec.com/2025/08/madeyoureset-nueva-vulnerabilidad-en-http-2-permite-ataques-ddos-masivos.html