MadeYouReset: De kwetsbaarheid in HTTP/2 die het risico op massale DDoS-aanvallen op het wereldwijde netwerk vergroot – Cloud Tijdschrift

Door /
Share on LinkedIn Share on WhatsApp

MadeYouReset: Nieuwe Bedreiging voor Internetinfrastructuur

De infrastructuur van het internet staat voor een nieuwe bedreiging, en dit baart grote zorgen bij technologiebedrijven, overheidsinstanties en cloudserviceproviders wereldwijd. Deze dreiging is de “MadeYouReset” (CVE-2025-25063), een kritieke kwetsbaarheid in het HTTP/2-protocol die is onthuld door onderzoekers van Google en Cloudflare. Al snel blijkt deze kwetsbaarheid te worden gebruikt voor grootschalige DDoS-aanvallen (Distributed Denial of Service).

Het ontstaan van MadeYouReset benadrukt dat zelfs de meest gebruikte en ogenschijnlijk robuuste protocollen kunnen verworden tot een Achilleshiel wanneer innovatie niet gepaard gaat met solide beveiligingsmaatregelen.

Wat is MadeYouReset en waarom baart het zorgen?

HTTP/2, dat massaal is aangenomen in het afgelopen decennium, is ontworpen om de efficiëntie van het moderne web te verbeteren: het maakt het mogelijk om meerdere aanvragen gelijktijdig te verwerken, versnelt de laadtijden van pagina’s en optimaliseert het gebruik van bandbreedte. Echter, diezelfde verfijning is een toegangspoort geworden voor een nieuw soort aanval.

MadeYouReset maakt gebruik van de functie “stream resets”, een mechanisme waarmee actieve aanvragen kunnen worden geannuleerd. Aanvallers hebben ontdekt hoe ze ongeldig opgemaakte frames massaal kunnen versturen, waardoor de server continu wordt gedwongen om verbindingen opnieuw op te starten.

Het resultaat is verwoestend: een buitensporig verbruik van CPU en geheugen, waardoor een service binnen enkele seconden kan instorten. Nog zorgwekkender is dat aanvallers, zelfs met een beperkte bandbreedte, hun impact duizenden keren kunnen amplificeren, wat tot nu toe ongekende kosten-baten verhoudingen oplevert.

Vergelijking met Rapid Reset: oude spoken komen terug

Deze situatie doet denken aan de kwetsbaarheid Rapid Reset (CVE-2023-44487), die twee jaar geleden werd ontdekt. Beide kwetsbaarheden hebben hetzelfde zwakke punt: het misbruik van het reset-mechanisme in HTTP/2.

  • Rapid Reset (2023): Klanten verstuurden continu directe resetverzoeken.
  • MadeYouReset (2025): Aanvallers misleiden de server met specifiek ontworpen frames zodat de server zelf de stromen opnieuw opstart.

Ondanks mitigaties die na Rapid Reset zijn toegepast, blijven tientallen implementaties kwetsbaar, vooral in niet-geüpdatete systemen of verouderde bibliotheken.

Impact op bedrijven, cloud en overheden

De effecten van MadeYouReset zijn niet beperkt tot websites. HTTP/2 wordt gebruikt in:

  • Cloudservices (AWS, Google Cloud, Microsoft Azure).
  • Bedrijfsapplicaties die HTTP/2-gebaseerde API’s integreren.
  • Kritieke platforms voor e-commerce, online bankieren of overheidsdiensten.

De CISA (Cybersecurity and Infrastructure Security Agency) van de VS heeft MadeYouReset onmiddellijk opgenomen in haar lijst van actief misbruikte kwetsbaarheden. De boodschap is duidelijk: de urgentie om patches toe te passen kan niet langer worden uitgesteld.

Het risico bestaat dat kritieke infrastructuren—van gezondheidsystemen tot telecomoperators—doelen van hoge waarde worden voor gecoördineerde cyberaanvallen.

Voorbeelden van aanvallen en omvang van het probleem

Hoewel de exacte impact nog in kwantificering is, wijzen experts op verontrustende scenario’s:

  • Een aanvaller met slechts 10 Mbps bandbreedte kan congestie veroorzaken die overeenkomt met honderden gigabits per seconde.
  • In gecontroleerde tests heeft Google aangetoond dat de amplificatie de oorspronkelijke capaciteit van de aanvaller met duizenden keren kan overstijgen.
  • Aangezien HTTP/2 alomtegenwoordig is, zijn de aanvalspunten talloos: van middelgrote webservers tot de grote hyperscalers die een aanzienlijk deel van het wereldwijde verkeer ondersteunen.

Mitigatiemaatregelen: wat kan er gedaan worden?

Experts raden aan om op verschillende fronten gelijktijdig actie te ondernemen:

1. Onmiddellijke updates en patches

Pas de correcties toe die softwareleveranciers hebben uitgebracht voor kwetsbare HTTP/2-bibliotheken. Cloudflare meldde dat hun framework Pingora in versies voorafgaand aan h2 0.4.11 kwetsbaar was en raadde dringend een update aan.

2. Verkeersmonitoring en beperking van verbindingen

Implementeer limieten op het aantal resetverzoeken per verbinding en configureer systemen om misbruikpatronen te detecteren.

3. Geavanceerde DDoS-mitigatie

De implementatie van vroege detectie- en filteroplossingen is cruciaal. Cloudflare en Google merkten op dat hun klanten al beschikken over bescherming vanuit maatregelen tegen Rapid Reset.

4. Plan B: HTTP/2 deactiveren in kritieke omgevingen

In sectoren waar beschikbaarheid van vitaal belang is, raden sommige experts aan om HTTP/2 tijdelijk uit te schakelen totdat de systemen zijn beschermd.

Een les over Internet: snelheid versus veiligheid

De zaak MadeYouReset brengt opnieuw het klassieke dilemma naar voren: moet innovatie veiligheid opofferen ten gunste van prestaties?

HTTP/2 is ontwikkeld om de gebruikerservaring te verbeteren, maar zijn complexiteit opent onverwachte deuren voor aanvallers. In deze context hangt de veerkracht van het internet zowel af van innovatie als van de mate van respons op kritieke fouten.

Experts van de Universiteit van Tel Aviv, die bij de ontdekking betrokken waren, waarschuwden dat ontwerpfouten in fundamentele protocollen onvermijdelijk zijn en dat de sleutel ligt in de snelheid van patching en de gezamenlijke verantwoordelijkheid tussen ontwikkelaars, leveranciers en eindgebruikers.

Korte termijnperspectieven

  • Meer geavanceerde aanvallen: Cybercriminelen kunnen MadeYouReset combineren met andere amplificatietechnieken.
  • Grotere regulerende druk: Instanties zoals de EU en de VS kunnen strengere responstijden voor kritieke patches eisen.
  • Evolutie naar HTTP/3: Hoewel HTTP/3, gebaseerd op QUIC, niet immuun is, wordt verwacht dat de architectuur de aanvalsoppervlakte voor deze technieken vermindert.

Uiteindelijk zal MadeYouReset worden herinnerd als een episode in de evolutie van de internetbeveiliging, maar ook als een waarschuwing: de fundamenten van het wereldnetwerk kunnen nooit als veilig worden beschouwd.

Share on LinkedIn Share on WhatsApp
Scroll naar boven