F5 Networks, saldırganların kurumsal ağlara karşı hizmet reddi saldırıları başlatmasına izin verebilecek birden fazla BIG-IP ürününü etkileyen yeni bir HTTP/2 güvenlik açığını açıkladı.
CVE-2025-54500 olarak adlandırılan ve 13 Ağustos 2025’te yayınlanan güvenlik açığı, HTTP/2 uygulamasında, kötü niyetli aktörlerin özel olarak hazırlanmış kontrol çerçeveleri kullanarak sistemleri ezmesini sağlayan bir kusurdan yararlanır ve dünya çapında kuruluşlar için potansiyel olarak kritik ağ altyapısını bozar.
Yeni Saldırı Hedefleri HTTP/2 Protokolü
“HTTP/2 MadeYoureset Saldırısı” olarak bilinen yeni tanımlanan güvenlik açığı, F5’in yük dengeleme ve uygulama teslimi için BIG-IP sistemlerine dayanan kuruluşlar için önemli bir güvenlik kaygısını temsil etmektedir.
Saldırı, maksimum eşzamanlı akış sınırını kırmak için kötü biçimlendirilmiş HTTP/2 kontrol çerçevelerini kullanarak çalışır, bu da uzaktan, doğrulanmamış saldırganların CPU kullanımında sistemin reddi reddetmesine yol açabilecek önemli artışlara neden olmasına izin verir.
F5’in güvenlik danışmanlığı, bu güvenlik açığını CWE-770 uyarınca sınıflandırır: CVSS v3.1 ölçeğinde 5.3 ve yeni CVSS v4.0 ölçeğinde 6.9 orta şiddet derecesi ile sınırlar veya kısma olmadan kaynakların tahsisi.
Önemli olarak, F5 bunun sadece kontrol düzlemi maruziyeti olmayan bir veri düzlemi sorunu olduğunu vurgulamaktadır, yani güvenlik açığı sistem yönetimi işlevlerinden ziyade trafik işlemesini etkiler.
Güvenlik açığı, kamu açıklamasından önce sorunu ele almak için F5 ile çalışarak sorumlu açıklama uygulamalarını takip eden araştırmacılar Gal Bar Nahum, Anat Bremler-Barr ve Yaniv Harel tarafından keşfedildi ve bildirildi.
Anahtar Teknik Ayrıntılar:
- Saldırı yöntemi: Malformlanmış HTTP/2 Kontrol Çerçeveleri Maksimum Eşzamanlı Akış Sınırını Boyun.
- Gerekli Erişim: Sömürü için yeterli uzak, yetkili olmayan erişim.
- Birincil etki: CPU kaynak tükenmesi hizmet reddi koşullarına yol açar.
- Etkilenen bileşen: Yalnızca HTTP/2 profilleriyle yapılandırılmış sanal sunucular.
- Saldırı Sınıflandırması: CWE-770 Kaynak Tahsisi Güvenlik Açığı.
- Keşif Zaman Çizelgesi: Sorumlu ifşa süreci ve ardından güvenlik araştırmacıları.
Yaygın F5 ürün etkisi
Güvenlik açığı, çok çeşitli F5 ürünlerini etkiler, Big-IP sistemleri çoklu versiyonlar arasındaki etkinin yükünü taşır.
15.1.0 ila 17.5.1 sürümlerini çalıştıran BIG-IP ürünleri, HTTP/2 profilleri ile yapılandırıldığında savunmasız olarak kabul edilir.
Etkilenen ürün hatları, 15.x, 16.x ve 17.x dallarında Big-IP LTM, APM, ASM, DNS ve diğer birçok modül içerir.
F5, 17.x dalı ve Hotfix-Bigip-16.1.6.0.27.3-Eng.iso için 16.x sistemleri için Hotfix-Bigip-17.5.1.0.80.7-Eng.iso dahil olmak üzere çeşitli ürün dalı için mühendislik hotfixes yayınladı.
Bununla birlikte, şu anda 15.x şubesi için hiçbir düzeltme mevcut değildir ve eski sistemlere sahip yöneticileri alternatif azaltma stratejilerine güvenmek için bırakır.
Özellikle, Big-IQ Merkezi Yönetim, F5 dağıtılmış bulut hizmetleri, F5OS sistemleri ve tüm Nginx ürünleri dahil olmak üzere bu güvenlik açığından birkaç F5 ürünü etkilenmez.
F5 Silverline hizmetleri savunmasızdır, ancak proxy konfigürasyonlarında sadece HTTP/2 etkinleştirildiğinde.
Azaltma ve Güvenlik İpuçları
Yamaları hemen uygulayamayan kuruluşlar için F5, birkaç hafifletme yaklaşımı önermektedir.
En basit çözüm, HTTP/2’nin devre dışı bırakılmasını ve bu değişikliği karşılayabilecek sistemler için standart HTTP’ye geri dönmeyi içerir.
Bu, temel işlevselliği korurken saldırı vektörünü etkili bir şekilde ortadan kaldırır.
BIG-IP ASM ve gelişmiş WAF kullanıcıları için F5, davranışsal DOS algılama ve azaltma özellikleri dahil olmak üzere TPS ve stres tabanlı özelliklerle yapılandırılmış DOS koruma profillerinin uygulanmasını önerir.
Bu profiller HTTP/2 sanal sunucuları ile ilişkilendirilmeli ve her ortama özgü uygun eşik ve hafifletme ayarlarıyla yapılandırılmalıdır.
Sistem yöneticileri, özellikle normal istemci trafiğine kıyasla alınan orantısız RST_stream kare ve Window_update çerçevelerini izleyen saldırı belirtileri için HTTP/2 profil istatistiklerini izlemelidir.
Bu istatistiksel anomalilerin eşlik ettiği CPU yükünde önemli artışlar, derhal dikkat gerektiren aktif sömürü girişimlerini gösterebilir.
AWS Security Services: 10-Point Executive Checklist - Download for Free