Hubungi Kami
  • September 1, 2025

MadeYouReset: Kerentanan DoS HTTP/2 Baru Dijelaskan

Pendahuluan: Ancaman Baru terhadap Infrastruktur Web

Pada tanggal 13 Agustus 2025, sebuah teknik serangan baru yang disebut “MadeYouReset” (CVE-2025-8671) diungkapkan, memungkinkan penyerang untuk memaksa server HTTP/2 melakukan reset aliran mereka sendiri, melewati banyak pertahanan Rapid Reset yang ada. Kerentanan ini, yang ditemukan melalui kolaborasi antara Imperva dan peneliti dari Tel Aviv University, mengeksploitasi kelemahan dalam implementasi protokol HTTP/2, menyebabkan tekanan sumber daya yang signifikan dan berpotensi menyebabkan serangan Denial-of-Service (DoS) berskala besar. Tidak seperti Rapid Reset (CVE-2023-44487), yang bergantung pada pembatalan aliran yang diprakarsai oleh klien, MadeYouReset menggunakan bingkai HTTP/2 yang tampak normal untuk memicu pelanggaran protokol yang halus, menyebabkan server melakukan reset sendiri. Artikel ini, berdasarkan laporan SOCRadar bertajuk MadeYouReset: New HTTP/2 DoS Vulnerability Explained, memberikan gambaran menyeluruh tentang cara kerja serangan ini, siapa yang terkena dampak, dan langkah-langkah mitigasi penting untuk melindungi infrastruktur web Anda.

Rapid Reset vs. MadeYouReset

Pada tahun 2023, kerentanan Rapid Reset (CVE-2023-44487) menunjukkan bahwa membuka dan membatalkan aliran HTTP/2 dengan cepat dapat membebani pemrosesan back-end, bahkan setelah protokol menandai aliran tersebut sebagai “ditutup.” Sebagai respons, penyedia layanan mulai membatasi burst RST_STREAM, memperketat batas aliran konkuren, dan memantau churn yang berlebihan. MadeYouReset mempertahankan dampak yang sama tetapi mengubah tanda tangannya. Alih-alih menggunakan reset yang diprakarsai klien, penyerang mengirim bingkai HTTP/2 yang tampak biasa tetapi memicu pelanggaran protokol yang halus. Server bereaksi dengan melakukan reset aliran sendiri, secara tidak sengaja meningkatkan tekanan sumber daya, menghasilkan efek DoS yang sama dengan kebisingan yang jauh lebih sedikit, sehingga lebih sulit dideteksi.

Apa yang Baru dengan MadeYouReset?

MadeYouReset mengambil pendekatan yang lebih diam dibandingkan dengan banjir perintah reset eksplisit. Penyerang mengirim bingkai yang tampak normal di permukaan tetapi menyebabkan inkonsistensi halus saat diproses. Skenario kasus tepi ini memaksa server untuk mengeluarkan reset sendiri, kadang-kadang bahkan menutup seluruh koneksi. Ketika diulang dengan cepat di banyak aliran, hasilnya menyerupai kerusakan Rapid Reset, tetapi tanpa tanda tangan yang jelas yang biasanya dipantau oleh pembela. Teknik utama yang digunakan penyerang meliputi:

  • Window Overflow: Meningkatkan jendela kontrol aliran melebihi batas yang diizinkan, memicu reset.
  • Zero Increment: Mengirim WINDOW_UPDATE dengan nilai nol, yang dilarang oleh spesifikasi, memicu kesalahan.
  • Penyalahgunaan Aliran Setengah Tertutup: Terus mengirim data atau header ke aliran yang seharusnya tidak aktif.
  • Ketidaksesuaian Ukuran PRIORITY: Mengirim bingkai prioritas dengan ukuran yang salah, memaksa server untuk melakukan koreksi dengan reset.

Taktik ini menipu server agar berpikir mereka telah membebaskan kapasitas aliran sambil tetap membakar CPU dan memori, dan dalam beberapa kasus, bahkan menyebabkan sistem crash karena kehabisan memori (out-of-memory).

Mengapa Pembela Harus Peduli

  • Lalu Lintas Profil Rendah: Permintaan menyerupai operasi HTTP/2 normal, membuat deteksi lebih sulit.
  • Melewati Pengaman yang Ada: Sebagian besar mitigasi berfokus pada perilaku klien yang agresif, seperti reset berlebihan, yang dielakkan oleh MadeYouReset.
  • Sesuai dengan Spesifikasi: Serangan ini menggunakan bingkai yang tampak sah, tetap berada dalam batas protokol, sehingga lebih sulit untuk diidentifikasi sebagai ancaman.
  • Dampak Parah: Tes menunjukkan bahwa sebagian besar sistem yang terkena dampak mengalami DoS penuh, dengan beberapa crash karena kehabisan memori, tergantung pada kapasitas server dan kompleksitas sumber daya yang ditargetkan.

Kerentanan ini memengaruhi berbagai implementasi HTTP/2, termasuk Netty (CVE-2025-55163), Apache Tomcat (CVE-2025-48989), F5 BIG-IP (CVE-2025-54500), H2O, dan lainnya, dengan lebih dari 100 vendor diberitahu selama proses pengungkapan yang terkoordinasi.

Cara Kerja Serangan MadeYouReset

Serangan MadeYouReset mengikuti urutan sederhana namun efektif:

  1. Penyerang membuka koneksi HTTP/2 standar dan beberapa aliran di bawah batas konkurensi server.
  2. Mereka mengirim bingkai yang dibuat dengan sengaja yang melanggar ekspektasi (misalnya, anomali WINDOW_UPDATE, kesalahan ukuran PRIORITY, bingkai ilegal pada aliran setengah tertutup).
  3. Server mendeteksi masalah protokol dan merespons dengan RST_STREAM atau GOAWAY, sementara pekerjaan back-end dan tekanan memori terus menumpuk.
  4. Proses diulang untuk melampaui batas konkurensi dan sumber daya praktis, berpotensi menyebabkan pemadaman atau kondisi kehabisan memori.

Serangan ini sangat efisien karena hanya membutuhkan bandwidth minimal untuk mengirim bingkai, sementara server menghabiskan sumber daya CPU, memori, dan I/O yang signifikan untuk memproses permintaan yang tidak nyata. Ketika dikombinasikan dengan botnet, serangan ini dapat menyaingi serangan Rapid Reset yang memecahkan rekor pada tahun 2023, yang mencapai lebih dari 398 juta permintaan per detik.

Bagaimana Cara Memitigasi Serangan MadeYouReset HTTP/2?

Untuk melindungi terhadap kerentanan MadeYouReset, organisasi harus mengambil langkah-langkah proaktif untuk memperkuat implementasi HTTP/2 mereka:

  • Terapkan Patch Vendor dengan Cepat: Ikuti buletin keamanan dari vendor HTTP/2 Anda atau proxy terbalik/CDN untuk mengatasi CVE-2025-8671 dan kerentanan terkait (misalnya, CVE-2025-48989 untuk Apache Tomcat, CVE-2025-55163 untuk Netty, CVE-2025-54500 untuk F5 BIG-IP). Beberapa vendor, seperti Apache Tomcat, Fastly, dan Varnish, telah merilis patch, sementara yang lain masih menyelidiki.
  • Perkuat Penanganan Protokol: Validasi bingkai yang masuk pada tahap penguraian awal, tolak bingkai yang dapat menciptakan keadaan ilegal (misalnya, window overflow, pembaruan zero-increment, bingkai PRIORITY yang salah bentuk).
  • Terapkan Aturan Status yang Ketat: Cegah DATA atau HEADER diproses pada aliran setengah tertutup untuk menghindari penggunaan sumber daya yang tidak perlu.
  • Pantau Tanda-tanda Siluman: Pantau kesalahan tingkat koneksi (misalnya, PROTOCOL_ERROR, GOAWAY) dan reset yang diprakarsai server—indikator utama serangan ini—terutama ketika reset klien tidak ada.
  • Batasi Tingkat Kesalahan: Tetapkan batas jumlah kesalahan tingkat protokol yang diizinkan per koneksi atau IP untuk mencegah kelelahan sumber daya.
  • Gunakan Perlindungan Upstream: Jika lalu lintas HTTP/2 Anda mengalir melalui CDN atau WAF dengan mitigasi MadeYouReset atau Rapid Reset, aktifkan fitur ini sambil mem-patch server asal.

Daftar Periksa Tim Biru untuk Serangan MadeYouReset HTTP/2

Untuk menerjemahkan strategi mitigasi ini menjadi tindakan operasional, tim keamanan (tim biru) harus mengikuti daftar periksa berikut:

  • Inventarisasi Layanan HTTP/2 Anda: Identifikasi semua server tepi, penyeimbang beban, gerbang aplikasi, mesh layanan, dan server aplikasi yang menggunakan HTTP/2.
  • Petakan ke CVE: Periksa setiap komponen terhadap buletin vendor saat ini (misalnya, CVE-2025-8671, CVE-2025-48989, CVE-2025-55163, CVE-2025-54500, CVE-2025-36047) dan prioritaskan penambalan sistem yang paling terekspos terlebih dahulu.
  • Terapkan Pemantauan yang Ditargetkan: Buat dasbor untuk melacak lonjakan reset yang diprakarsai server atau kesalahan protokol.
  • Uji di Lingkungan Staging: Jalankan simulasi untuk nilai WINDOW_UPDATE yang tidak normal, mengirim data ke aliran setengah tertutup, dan ukuran bingkai PRIORITY yang tidak valid untuk mengonfirmasi bahwa perlindungan berfungsi.
  • Dokumen Opsi Cadangan: Siapkan dan uji rencana untuk menurunkan klien atau layanan tertentu ke HTTP/1.1 sebagai mitigasi darurat jika diperlukan.

Integrasi dengan Strategi Keamanan yang Lebih Luas

Untuk meningkatkan ketahanan terhadap MadeYouReset dan ancaman serupa, organisasi harus mengintegrasikan mitigasi ini ke dalam strategi keamanan siber yang lebih luas:

  • Manfaatkan Intelijen Ancaman: Gunakan platform seperti SOCRadar’s Vulnerability Intelligence untuk melacak CVE terbaru, obrolan eksploitasi, dan aktivitas aktor ancaman yang terkait dengan tumpukan teknologi Anda. Kombinasikan dengan Attack Surface Management (ASM) untuk memetakan aset yang terekspos dan memprioritaskan penambalan berdasarkan risiko dunia nyata.
  • Tingkatkan Tata Kelola Identitas: Integrasikan dengan solusi seperti SailPoint Identity Security Cloud untuk mendeteksi anomali dalam identitas manusia dan non-manusia yang dapat memperburuk serangan DoS, seperti kredensial admin yang dikompromikan.
  • Pantau Dark Web: Gunakan alat seperti modul Dark Web Monitoring dari SOCRadar untuk mendeteksi penjualan eksploitasi MadeYouReset atau diskusi aktor ancaman, memberikan peringatan dini tentang potensi serangan.

Kesimpulan: Menghadapi Ancaman HTTP/2 yang Berkembang

Kerentanan MadeYouReset (CVE-2025-8671) menyoroti kompleksitas yang berkembang dari penyalahgunaan protokol modern, mengeksploitasi fitur HTTP/2 yang dirancang untuk efisiensi untuk menciptakan serangan DoS yang kuat namun sulit dideteksi. Dengan memaksa server untuk melakukan reset aliran sendiri, MadeYouReset melewati mitigasi Rapid Reset tradisional, memengaruhi implementasi HTTP/2 utama seperti Netty, Apache Tomcat, dan F5 BIG-IP. Organisasi harus segera menambal sistem yang terkena dampak, memperkuat penanganan protokol, dan memantau tanda-tanda siluman seperti kesalahan PROTOCOL_ERROR atau GOAWAY. Dengan mengintegrasikan mitigasi ini dengan alat seperti SOCRadar’s Vulnerability Intelligence dan Dark Web Monitoring, organisasi dapat membangun postur keamanan yang adaptif yang tetap terdepan dari ancaman yang berkembang. MadeYouReset adalah pengingat bahwa bahkan lalu lintas yang tampak sah dapat menjadi senjata jika tidak diperiksa dengan cermat, menekankan perlunya validasi protokol yang ketat dan kolaborasi antara komunitas keamanan dan akademis.

Ajakan Bertindak: Amankan Server HTTP/2 Anda dengan SOCRadar

Jangan biarkan kerentanan MadeYouReset membahayakan infrastruktur web Anda. Dengan SOCRadar’s Vulnerability Intelligence dan Dark Web Monitoring, Anda dapat melacak CVE terbaru, memantau aktivitas aktor ancaman, dan melindungi aset Anda dari serangan DoS berskala besar. Kunjungi situs socradar.ilogoindonesia.com untuk meminta Laporan Dark Web gratis atau demo solusi kami. Daftar untuk uji coba gratis hari ini dan perkuat pertahanan Anda terhadap ancaman HTTP/2 yang sedang berkembang!