MadeYouReset: vulnerabilidad crítica en HTTP/2 permite ataques DDoS masivos

PayloadCollection: Repositorio esencial de payloads para pentesters y bug bounty hunters
2 de agosto de 2025
Ver todo

Investigadores de Google y Cloudflare han revelado una grave vulnerabilidad en el protocolo HTTP/2, identificada como CVE-2025-8671 y bautizada como MadeYouReset. Esta falla ya está siendo explotada activamente para ejecutar ataques DDoS de gran escala, lo que la convierte en una amenaza inmediata para servicios y aplicaciones que dependen de este protocolo.

¿Cómo funciona MadeYouReset?

El ataque aprovecha la gestión de flujos en HTTP/2, enviando múltiples solicitudes acompañadas de reset frames. Estos obligan al servidor a reiniciar constantemente procesos internos, lo que genera un consumo desproporcionado de CPU y memoria.

En pruebas controladas, Google demostró que incluso un atacante con ancho de banda limitado puede desencadenar un impacto miles de veces mayor que su capacidad real, logrando un efecto de amplificación extrema. Esto convierte a MadeYouReset en un vector ideal para derribar infraestructuras críticas en cuestión de segundos.

Impacto en servidores y servicios

La vulnerabilidad afecta a una amplia gama de implementaciones de HTTP/2, desde aplicaciones web empresariales hasta plataformas en la nube utilizadas por millones de usuarios.

La CISA (Cybersecurity and Infrastructure Security Agency) incluyó rápidamente a MadeYouReset en su catálogo de vulnerabilidades explotadas activamente, alertando sobre el riesgo que representa para la disponibilidad de servicios esenciales.

El nivel de exposición es particularmente alto en proveedores cloud, entornos SaaS y aplicaciones que no cuentan con defensas anti-DDoS robustas.

Medidas de mitigación recomendadas

Para reducir la superficie de ataque y contener el riesgo, los expertos sugieren:

  • Actualizar servidores y librerías HTTP/2 tan pronto como se publiquen parches oficiales.
  • Aplicar límites de solicitudes por conexión, dificultando la explotación del envío masivo de reset frames.
  • Implementar soluciones anti-DDoS capaces de detectar patrones de tráfico anómalos y bloquearlos en tiempo real.
  • Evaluar la deshabilitación temporal de HTTP/2 en entornos críticos donde el protocolo no sea estrictamente necesario.

Fuentes

  • SecurityWeek – ‘MadeYouReset’ HTTP/2 Vulnerability Enables Massive DDoS Attacks
  • Cloudflare – Technical Analysis of MadeYouReset Attacks

PoC – CVE-2023-44487: HTTP/2 Rapid Reset Attack: https://github.com/moften/CVE-2023-44487-HTTP-2-Rapid-Reset-Attack

PoC – CVE-2025-25063 MadeYouReset (versión preliminar): https://github.com/moften/CVE-2025-8671-MadeYouReset-HTTP-2-DDoS

Artículos relacionados

31 de julio de 2025

Apple corrige vulnerabilidad crítica en Safari que también fue explotada como día cero en Google Chrome

Leer más
28 de julio de 2025

TP-Link corrige fallos críticos en videograbadores VIGI: ejecución remota de comandos, incluso sin credenciales

Leer más
9 de junio de 2025

Cisco corrige grave fallo en ISE que afecta despliegues en la nube: ya existe PoC pública

Leer más
5 de junio de 2025

Una década de riesgo: vulnerabilidad crítica en Roundcube permite ejecución remota de código tras autenticación

Leer más
30 de mayo de 2025

Falla crítica en Fortinet (CVE-2025-32756): desbordamiento de pila explotado activamente

Leer más
30 de mayo de 2025

Vulnerabilidad en Oracle TNS expone datos sensibles desde la memoria del sistema

Leer más