Lỗ hổng HTTP/2 MadeYouReset mở đường cho tấn công DoS quy mô lớn

[Kaya]

Một kỹ thuật tấn công mới mang tên MadeYouReset vừa được các nhà nghiên cứu bảo mật công bố, gây rúng động giới an ninh mạng. Lỗ hổng này nằm trong giao thức HTTP/2 - nền tảng quan trọng của web hiện đại, có thể bị lợi dụng để thực hiện các cuộc tấn công từ chối dịch vụ (DoS) quy mô lớn. Điều đáng lo ngại là nó ảnh hưởng đến nhiều sản phẩm phổ biến như Apache Tomcat, F5 BIG-IP, Netty và có nguy cơ làm gián đoạn dịch vụ của hàng triệu website.

1. MadeYouReset là gì?​

HTTP/2 vốn thiết kế để nhanh và an toàn hơn HTTP/1.1. Để hạn chế DoS, các máy chủ thường giới hạn 100 yêu cầu đồng thời trên một kết nối TCP. Nhưng MadeYouReset đã “lách luật”, cho phép kẻ tấn công gửi hàng nghìn yêu cầu cùng lúc, vượt ngoài tầm kiểm soát và gây nghẽn hệ thống.

Kỹ thuật này không cần hacker gửi khung (frame) RST_STREAM như trước, mà lợi dụng việc máy chủ tự gửi RST_STREAM khi gặp lỗi xử lý. Bằng cách “chèn” các khung điều khiển sai cú pháp đúng thời điểm, hacker buộc máy chủ vừa xử lý yêu cầu, vừa phải reset dòng dữ liệu, dẫn đến ngốn bộ nhớ và quá tải.

2. Ai bị ảnh hưởng?​

• Apache Tomcat, F5 BIG-IP, Netty.
• Các dịch vụ web lớn như Cloudflare, Akamai, Fastly, Varnish Cache… đều phải cập nhật bản vá.
• Nói cách khác: Từ hệ thống ngân hàng, thương mại điện tử đến website tin tức bạn đọc hằng ngày, tất cả đều có thể bị gián đoạn nếu chưa khắc phục.

3. Vì sao MadeYouReset nguy hiểm?​

• Tấn công diện rộng: Hacker không cần botnet khổng lồ, chỉ cần một số lượng nhỏ thiết bị nhưng khai thác đúng cách.
• Vượt phòng thủ cũ: Sau “Rapid Reset” (CVE-2023-44487), nhiều máy chủ đã triển khai biện pháp phòng vệ. Nhưng MadeYouReset lại “vượt rào” bằng chính cách mà máy chủ tự xử lý, khiến các bản vá trước trở nên kém hiệu quả.
• Nguy cơ out-of-memory (OOM): Một số hệ thống có thể crash hoàn toàn, làm dịch vụ sập tức thì.

4. Bối cảnh rộng hơn: HTTP/2 và HTTP/1.1 đều có vấn đề​

• HTTP/2 từng dính các lỗi Rapid Reset và CONTINUATION Flood.
• Song song, HTTP/1.1 cũng đang bị PortSwigger chỉ ra các biến thể request smuggling (0.CL) khiến hàng triệu website có thể bị “chiếm quyền” qua lỗi parsing.
• Thực tế này cho thấy, các giao thức nền tảng của web vẫn là mục tiêu ưa thích và chưa bao giờ hết rủi ro.

Các chuyên gia đưa ra khuyến cáo:​

Doanh nghiệp và quản trị viên cần:

• Cập nhật ngay bản vá từ Apache, F5, Netty và các nhà cung cấp CDN lớn.
• Giám sát lưu lượng bất thường, nhất là các luồng HTTP/2 quá nhiều reset.
• Chuẩn bị kịch bản dự phòng (failover, cân bằng tải) để hạn chế downtime.

Người dùng cá nhân nên:

• Kiên nhẫn khi gặp tình trạng website/ứng dụng ngân hàng chậm bất thường.
• Luôn đảm bảo phần mềm bảo mật và trình duyệt được cập nhật.

Thực tế cho thấy, hacker luôn nghĩ ra chiêu mới, còn hạ tầng web thì không bao giờ hết lỗ hổng. Với người dùng bình thường, hậu quả dễ nhận thấy nhất là các dịch vụ trực tuyến có thể chậm chạp, gián đoạn, thậm chí “sập” hẳn nếu doanh nghiệp chưa kịp cập nhật bản vá.

Theo WhiteHat.vn​

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview