Credit image: Freepix
MadeYouReset Teknik Serangan DoS Baru pada HTTP/2 – Peneliti keamanan siber telah menemukan teknik serangan baru yang disebut MadeYouReset, yang memanfaatkan kerentanan dalam berbagai implementasi HTTP/2 untuk melancarkan serangan denial-of-service (DoS) yang kuat.
MadeYouReset dirancang untuk melewati batas standar server yang biasanya mengizinkan 100 permintaan HTTP/2 secara bersamaan per koneksi TCP dari klien. Batas ini sebenarnya bertujuan untuk mencegah serangan DoS.
Tetapi MadeYouReset berhasil menembus batasan tersebut. Akibatnya, seorang penyerang dapat mengirimkan ribuan permintaan.
Yang menyebabkan kondisi denial-of-service bagi pengguna sah. Dalam beberapa kasus, serangan ini bahkan dapat menyebabkan crash out-of-memory.
Kerentanan ini diberi kode identifikasi generik CVE-2025-8671. Namun, kerentanan ini juga memengaruhi berbagai produk lain, termasuk:
- Apache Tomcat (CVE-2025-48989)
- F5 BIG-IP (CVE-2025-54500)
- Netty (CVE-2025-55163)
|
Baca juga: Evolusi EDR Killer Baru Mengancam Keamanan Sistem |
Cara Kerja MadeYouReset
MadeYouReset adalah cacat keamanan terbaru dalam protokol HTTP/2, setelah Rapid Reset (CVE-2023-44487) dan HTTP/2 CONTINUATION Flood.
Serangan ini dibangun di atas Rapid Reset dan mitigasinya, yang membatasi jumlah aliran data (stream) yang dapat dibatalkan oleh klien menggunakan bingkai RST_STREAM.
MadeYouReset mengeksploitasi fakta bahwa bingkai RST_STREAM digunakan untuk pembatalan yang dimulai oleh klien dan juga untuk memberi sinyal adanya kesalahan aliran data.
Penyerang mengirimkan bingkai yang dibuat dengan cermat untuk memicu pelanggaran protokol, yang kemudian mendorong server untuk mereset aliran data dengan mengeluarkan bingkai RST_STREAM-nya sendiri.
Terdapat enam jenis primitif yang dapat memicu server mengirimkan bingkai RST_STREAM, termasuk mengirimkan bingkai WINDOW_UPDATE dengan nilai 0, bingkai PRIORITY dengan panjang yang tidak sesuai, atau mengirimkan bingkai HEADERS atau DATA setelah klien menutup aliran data.
Dengan memanfaatkan kelemahan ini, MadeYouReset berhasil mengatasi mitigasi Rapid Reset karena penyerang tidak perlu mengirimkan bingkai RST_STREAM.
Sebaliknya, mereka memanipulasi server agar melakukannya, sehingga menghasilkan dampak yang sama berbahayanya.
Menurut CERT Coordination Center (CERT/CC), MadeYouReset mengeksploitasi ketidaksesuaian antara spesifikasi HTTP/2 dan arsitektur internal banyak server we.
Yang mengakibatkan kehabisan sumber daya. Hal ini yang kemudian dapat dimanfaatkan penyerang untuk melancarkan serangan DoS.
Isu Keamanan Lain HTTP/1.1 Desync Attacks
Penemuan MadeYouReset muncul di tengah rincian serangan lain dari perusahaan keamanan aplikasi PortSwigger mengenai HTTP/1.1 desync attacks (juga dikenal sebagai HTTP request smuggling).
Serangan ini dapat mengekspos jutaan situs web terhadap pengambilalihan. Akamai (CVE-2025-32094) dan Cloudflare (CVE-2025-4366) telah mengatasi isu ini.
HTTP request smuggling adalah eksploitasi keamanan yang memanfaatkan ketidaksesuaian cara server front-end dan back-end memproses permintaan HTTP yang tidak sesuai dengan standar. Serangan ini memungkinkan penyerang untuk “menyelundupkan” permintaan dan melewati langkah-langkah keamanan.
PortSwigger menyatakan bahwa HTTP/1.1 memiliki kelemahan fatal di mana penyerang dapat menciptakan ambiguitas ekstrem tentang di mana satu permintaan berakhir dan yang berikutnya dimulai.
Sebaliknya, HTTP/2 dan versi yang lebih baru menghilangkan ambiguitas ini, membuat serangan desync hampir mustahil. Oleh karena itu, PortSwigger menyimpulkan bahwa HTTP/1.1 harus “mati” dan mendorong penggunaan HTTP/2 untuk koneksi antara reverse proxy dan origin server.
Sampai di sini pembahsan kita mengenai MadeYouReset Teknik Serangan DoS Baru pada HTTP/2, semoga informasi tersebut dapat bermanfaat.
Sumber berita:
