CVE-2026-40060 F5 BIG-IP WAF/ASM拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2026-40060

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

F5 BIG-IP Advanced WAF, F5 BIG-IP ASM

漏洞概述

该漏洞存在于F5 BIG-IP Advanced WAF和ASM安全策略中。当虚拟服务器启用了此类策略时，攻击者可以通过发送特制的未公开请求，触发设备后台`bd`进程的异常终止。由于该漏洞无需认证且无需用户交互，远程攻击者可轻易利用此漏洞导致目标服务中断，从而造成拒绝服务条件，对系统可用性构成严重威胁。

技术细节

该漏洞源于F5 BIG-IP系统在处理特定网络流量时的深层逻辑缺陷。具体而言，当BIG-IP设备的虚拟服务器配置并启用了Advanced WAF（高级Web应用防火墙）或ASM（应用安全管理）安全策略时，系统后台的`bd`进程在解析某些特定字段或结构的未公开请求时存在边界检查或异常处理错误。根据CVSS 3.1评分向量分析，该漏洞具有网络攻击向量（AV:N），攻击复杂度低（AC:L），且无需任何权限（PR:N）即可触发。这使得远程未认证攻击者能够通过网络向目标设备发送恶意构造的数据包。一旦数据包被`bd`进程处理，将导致进程发生未处理的异常而崩溃终止。由于`bd`进程负责关键的安全检测任务，其崩溃不仅导致安全策略失效，还会引发系统层面的服务中断，形成拒绝服务攻击，对业务连续性造成严重影响。

攻击链分析

STEP 1

侦察

攻击者通过网络扫描发现目标F5 BIG-IP设备，并确认其运行了Advanced WAF或ASM服务。

STEP 2

武器化与投递

攻击者构造包含特定未公开特征的恶意请求包，通过网络直接发送给配置了安全策略的虚拟服务器。

STEP 3

利用

目标设备的`bd`进程接收到该请求后，由于处理逻辑缺陷触发异常，导致进程意外崩溃终止。

STEP 4

影响

`bd`进程的终止导致安全策略功能失效，相关服务中断，最终形成拒绝服务状态。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
PoC for CVE-2026-40060 (F5 BIG-IP DoS)
Note: The specific payload is undisclosed. This script demonstrates
how one would send a request to the target to test for the vulnerability.
Use only for authorized testing purposes.
"""

import socket
import sys

def send_exploit(target_ip, target_port=80):
    # Placeholder for the undisclosed malicious request
    # Actual exploit requires specific bytes that trigger the bd process crash
    payload = b"GET / undisclosed_request_path HTTP/1.1\r\n"
    payload += b"Host: " + target_ip.encode() + b"\r\n"
    payload += b"Connection: close\r\n\r\n"

    try:
        print(f"[*] Sending payload to {target_ip}:{target_port}...")
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.settimeout(5)
        s.connect((target_ip, target_port))
        s.sendall(payload)
        response = s.recv(1024)
        s.close()
        print("[+] Payload sent. Check if the bd process has terminated.")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print("Usage: python3 cve_2026_40060_poc.py <target_ip>")
        sys.exit(1)
    send_exploit(sys.argv[1])

影响范围

F5 BIG-IP (具体受影响版本请参考官方公告K000160727)

防御指南

临时缓解措施

建议管理员尽快检查F5 BIG-IP系统的版本，并访问F5官方支持网站下载并安装针对CVE-2026-40060的热修复或升级到最新版本。在无法立即修补的情况下，应参考F5 Sol K000160727文档，通过修改安全策略配置或部署iRules来拦截未公开的恶意请求，以降低被拒绝服务攻击的风险。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-40060
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-40060
3 Details https://www.cvedetails.com/cve/CVE-2026-40060/
4 VulDB https://vuldb.com/cve/CVE-2026-40060
5 Link https://my.f5.com/manage/s/article/K000160727