CVE-2025-60013CVE-2025-60013是F5 rSeries设备FIPS(Federal Information Processing Standards)硬件安全模块(HSM)初始化过程中存在的一个命令注入漏洞。该漏洞于2025年10月15日由F5安全事件响应团队([email protected])披露,CVSS 3.1评分为4.6,属于中危级别。
该漏洞的根本原因在于F5 rSeries FIPS模块的初始化流程中,对用户输入的密码参数未进行充分的过滤和转义处理。当具有高权限的已认证攻击者在初始化FIPS模块时输入包含特殊Shell元字符(如分号、管道符、反引号等)的密码,系统会将这些元字符作为Shell命令的一部分进行解析和执行,从而导致任意系统命令执行。
成功利用此漏洞的攻击者可以实现以下危害:首先,攻击者能够在目标系统上执行任意系统命令,从而突破预期的安全边界;其次,FIPS硬件安全模块的初始化过程会失败,导致HSM无法正常工作,影响系统的加密功能和合规性。该漏洞的攻击向量为本地(AV:L),需要高权限认证(PR:H),无需用户交互(UI:N),对机密性和完整性产生低影响,对可用性无影响。值得注意的是,已到达技术支持终止(EoTS)阶段的软件版本不在评估范围内。
该漏洞属于典型的Shell命令注入(Shell Metacharacter Injection)漏洞,其技术原理如下:
1. **输入处理缺陷**:F5 rSeries FIPS模块初始化工具在接收用户输入的密码参数时,直接将该参数拼接到Shell命令字符串中,而未对特殊字符进行转义或过滤。
2. **Shell元字符注入**:攻击者可以在密码字段中注入Shell元字符,如分号(;)、管道符(|)、与符号(&&)、反引号(``)、命令替换符($())等。例如,密码设置为`pass;id`时,系统执行的实际命令变为两条独立的命令。
3. **权限要求**:漏洞利用需要高权限认证(PR:H),因为FIPS模块的初始化操作本身就需要管理员级别的权限。攻击者必须已经是具有高权限的认证用户。
4. **安全边界跨越**:成功注入命令后,攻击者可以在底层操作系统上执行任意命令,突破FIPS模块的安全边界,从HSM管理上下文逃逸到完整的系统Shell环境。
5. **HSM初始化失败**:由于注入的命令干扰了正常的初始化流程,FIPS硬件安全模块将无法成功初始化,导致加密服务不可用。
利用方式:攻击者以高权限账户登录系统后,通过FIPS模块初始化接口提交包含恶意Shell元字符的密码,即可触发命令执行。