A F5 Networks divulgou uma nova vulnerabilidade HTTP/2 que afeta vários produtos Big-IP que poderiam permitir que os invasores iniciem ataques de negação de serviço contra redes corporativas.
A vulnerabilidade, designada CVE-2025-54500 e publicado em 13 de agosto de 2025, explora uma falha na implementação HTTP/2 que permite que atores maliciosos sobrecarregem os sistemas usando quadros de controle especialmente criados, potencialmente interrompendo a infraestrutura de rede crítica para organizações em todo o mundo.
Novos ataques de ataques http/2 protocolo
A vulnerabilidade recém-identificada, conhecida como “HTTP/2 Madeyoureset Atant”, representa uma preocupação significativa de segurança para as organizações que dependem dos sistemas Big-IP da F5 para balanceamento de carga e entrega de aplicativos.
O ataque funciona explorando quadros de controle HTTP/2 malformados para quebrar o limite máximo de fluxos simultâneos, permitindo que os atacantes remotos e não autenticados causassem aumentos substanciais no uso da CPU que podem levar a um sistema completo negação de serviço.
A consultoria de segurança da F5 classifica essa vulnerabilidade nos termos da CWE-770: alocação de recursos sem limites ou aceleração, com uma classificação de severidade média de 5,3 na escala CVSS v3.1 e 6,9 na escala CVSS v4.0 mais recente.
É importante ressaltar que a F5 enfatiza que isso é exclusivamente um problema de plano de dados sem exposição ao plano de controle, o que significa que a vulnerabilidade afeta o processamento do tráfego em vez de as funções de gerenciamento do sistema.
A vulnerabilidade foi descoberta e relatada pelos pesquisadores Gal Bar Nahum, Anat Bremler-Barr e Yaniv Harel, que seguiram práticas de divulgação responsáveis trabalhando com F5 para resolver a questão antes do anúncio público.
Principais detalhes técnicos:
- Método de ataque: Os quadros de controle HTTP/2 malformados ignoram o limite máximo de fluxos simultâneos.
- Acesso necessário: Acesso remoto e não autenticado suficiente para explorar.
- Impacto primário: Exaustão de recursos da CPU, levando a condições de negação de serviço.
- Componente afetado: Servidores virtuais configurados apenas com perfis HTTP/2.
- Classificação de ataque: CWE-770 Vulnerabilidade de alocação de recursos.
- Linha do tempo da descoberta: Processo de divulgação responsável seguido de pesquisadores de segurança.
Impacto generalizado do produto F5
A vulnerabilidade afeta uma ampla gama de produtos F5, com sistemas Big-IP com o impacto do impacto em várias versões.
Os produtos Big-IP executando as versões 15.1.0 a 17.5.1 são considerados vulneráveis quando configurados com perfis HTTP/2.
As linhas de produtos afetadas incluem Big-IP LTM, APM, ASM, DNS e vários outros módulos nos ramos 15.x, 16.x e 17.x.
F5 já tem lançado Hotfixes de engenharia para várias filiais de produtos, incluindo Hotfix-BIGIP-17.5.1.0.80.7-ENG.iso para a ramificação 17.x e hotfix-bigip-16.1.6.0.27.3-eng.iso para sistemas 16.x.
No entanto, atualmente, nenhuma correção está disponível para a filial de 15.x, deixando os administradores com sistemas mais antigos para confiar em estratégias alternativas de mitigação.
Notavelmente, vários produtos F5 permanecem inalterados por essa vulnerabilidade, incluindo gerenciamento centralizado BIG-IQ, serviços em nuvem distribuídos pela F5, sistemas F5OS e todos os produtos NGINX.
Os serviços F5 Silverline são vulneráveis, mas somente quando o HTTP/2 está ativado em configurações de proxy.
Dicas de mitigação e segurança
Para organizações não conseguirem aplicar imediatamente patches, a F5 recomenda várias abordagens de mitigação.
A solução mais direta envolve desativar o HTTP/2 e reverter para o HTTP padrão para sistemas que podem acomodar essa alteração.
Isso elimina efetivamente o vetor de ataque, mantendo a funcionalidade básica.
Para usuários BIG-IP ASM e Avançado WAF, a F5 sugere a implementação de perfis de proteção do DOS configurados com TPS e atributos baseados em estresse, incluindo os recursos de detecção e mitigação comportamentais do DOS.
Esses perfis devem estar associados a HTTP/2 servidores virtuais e configurado com as configurações de limiar e mitigação apropriadas específicas para cada ambiente.
Os administradores do sistema devem monitorar estatísticas de perfil HTTP/2 em busca de sinais de ataque, particularmente observando números desproporcionais de quadros RST_stream enviados e quadros window_update recebidos em comparação com o tráfego normal do cliente.
Aumentos significativos na carga da CPU acompanhados por essas anomalias estatísticas podem indicar tentativas ativas de exploração que exigem atenção imediata.
AWS Security Services:10-Point Executive Checklist -Download for Free