F5 Networks, uzak saldırganların kurumsal ağlara karşı hizmet reddi saldırıları başlatmasına izin verebilecek birden fazla BIG-IP ürününü etkileyen yeni bir HTTP/2 güvenlik açığını açıkladı.
CVE-2025-54500 olarak adlandırılan ve “HTTP/2 MadeYoureset Saldırısı” olarak adlandırılan güvenlik kusuru, 13 Ağustos 2025’te 15 Ağustos’ta yayınlanan güncellemelerle yayınlandı.
Güvenlik açığı, sistem sistemlerini ezmek için kötü biçimlendirilmiş HTTP/2 kontrol çerçevelerini kullanır ve CVSS skorları 5.3 (V3.1) ve 6.9 (V4.0) ile orta şiddet derecesi verilmiştir.
HTTP/2 Protokol İstismar Açıklanmamış
Yeni keşfedilen güvenlik açığı, F5 ürünlerinin HTTP/2 iletişimini nasıl ele aldığı konusunda önemli bir uygulama kusurunu temsil eder.
Güvenlik araştırmacıları, saldırganların, maksimum eşzamanlı akış sınırını kırmak için hatalı biçimlendirilmiş HTTP/2 kontrol çerçevelerini manipüle edebileceğini ve yerleşik protokol önlemlerini etkili bir şekilde atlayabildiğini tespit ettiler.
Saldırı yöntemi, uzaktan, kimlik doğrulanmamış saldırganların CPU kullanımında önemli artışlara neden olmasına ve potansiyel olarak etkilenen BIG-IP sistemlerinde tam olarak hizmet reddine yol açmasına izin verir.
Bu güvenlik açığının temel özellikleri şunları içerir:
- Saldırı türü: HTTP/2 MakeYoureset Saldırı, Yatık Kolu Kontrol Çerçeveleri Kullanarak.
- Kimlik Doğrulama Gerekli: Yok – Uzaktan, yetkili olmayan sömürü mümkün.
- Birincil etki: CPU kaynak tükenmesi hizmet reddine yol açar.
- Sınıflandırma: CWE-770 (Sınırsız veya kısaltmadan kaynakların tahsisi).
- Maruz kalma seviyesi: Yalnızca veri düzlemi, kontrol düzlemi uzlaşmaz.
- F5 Dahili Kimlikler: 1937817 (BIG-IP), 1937817-5 (BIG-IP sonraki), 1937817-6 (sonraki SPK/CNF/K8S).
Bu kırılganlığı özellikle ilgili kılan şey, CWE-770 kapsamındaki sınıflandırılmasıdır: kaynakların sınırsız veya kısma tahsisi, saldırının sistemlerin kaynak tahsisini düzgün bir şekilde yönetemediğini gösteriyor.
Önemli olarak, bu sadece bir veri düzlemi sorunu olarak sınıflandırılır, yani daha şiddetli sistem uzlaşmaları potansiyelini sınırlayan kontrol düzlemi maruziyeti yoktur.
F5 ürünleri yaygın olarak etkilendi
Güvenlik açığı, etkinin yükünü taşıyan Big-IP sistemleri ile geniş bir F5 ürün yelpazesini etkiler. Savunmasız sürümler arasında BIG-IP 17.x (sürümler 17.5.0-17.5.1 ve 17.1.0-17.1.2), BIG-IP 16.x (sürüm 16.1.0-16.1.6) ve BIG-IP 15.x (sürümler 15.1.0-15.1.10) bulunur.
F5, 17.x ve 16.x şubeleri için mühendislik hotfixes, özellikle hotfix-bigip-17.5.1.0.80.7-eng.iso ve hotfix-bigip-17.1.2.2.2.x serisi için 17.x serisi için ve hotfix-bigip-16.1.1.1.6.6.0.27-3-shoS.1.1.1.1.1.1.
BIG-IP sonraki ürünler de 20.3.0 ve çeşitli SPK, CNF ve Kubernetes uygulamaları dahil olmak üzere etkilenmektedir.
Bununla birlikte, BIG-IQ Merkezi Yönetim, F5 dağıtılmış bulut hizmetleri, NGINX ürünleri, F5OS sistemleri ve F5 AI ağ geçidi dahil olmak üzere birkaç F5 ürünü etkilenmez. F5 Silverline hizmetleri yalnızca HTTP/2 etkin proxy konfigürasyonları kullanıldığında savunmasızdır.
F5, etkilenen sistemler için mevcut sıcaklıkların derhal uygulanmasını şiddetle tavsiye ederken, mühendislik sıcaklıklarının düzenli sürümlerin kapsamlı kalite güvence testinden geçmediğini kabul eder.
Yamaları hemen uygulayamayan kuruluşlar için F5, birkaç azaltma stratejisi önermektedir. Birincil öneri, HTTP/2’yi devre dışı bırakmak ve yapılandırmaların bu değişikliğe izin verdiği HTTP’ye geri dönmektir.
Ek hafifletme seçenekleri arasında, davranışsal DOS algılama ve azaltma özellikleri dahil olmak üzere TPS ve stres tabanlı özelliklerle BIG-IP ASM/gelişmiş WAF DOS koruma profillerinin uygulanması yer alır.
BIG-IP Next SPK, CNF ve Kubernetes dağıtımları için yöneticiler mümkün olduğunca F5SPKingressHTTP2 özel kaynağını silebilir.
Sistem yöneticileri HTTP/2 profil istatistiklerini izleyerek, gönderilen olağandışı çok sayıda RST_Stream çerçevesini ve aktif sömürü girişimlerini gösterebilecek window_update çerçevelerini izlemelidir.
F5, güvenlik araştırmacıları Gal Bar Nahum, Anat Bremler-Barr ve Yaniv Harel’i bu güvenlik açığını keşfettikleri ve sorumlu bir şekilde ifşa ettikleri için kabul ediyor.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.