Giriş
F5 BIG-IP sistemleri, kurumsal ağlarda trafiğin yönetilmesi ve yük dengeleme gibi kritik görevler üstlenirken, karşı karşıya kalınan güvenlik açıkları ciddi sonuçlar doğurabilmektedir. Son zamanlarda keşfedilen CVE-2025-21091 açığı, SNMP (Simple Network Management Protocol) yapılandırması ile ilişkilidir. Bu makalede, açığın teknik detayları, etkilenen sürümler, güvenlik etkileri ve alınabilecek mitigasyon adımları detaylı olarak ele alınacaktır.
Açığın Teknik Detayları
Temel Sebep: Bellek Yönetimi Hatası
CVE-2025-21091 açığı, temelde SNMP istekleriyle ilişkili bellek yönetim hatasından (CWE-401: Etkin Yaşam Süresinden Sonra Bellek Serbest Bırakılmaması) kaynaklanmaktadır. SNMP protokolünün varsayılan olarak devre dışı bırakılmış sürümleri (SNMP v1 ve v2c) üzerinde, saldırganların kimlik doğrulaması gerektirmeyen istekler göndererek bellek kullanımını kademeli olarak artırması mümkündür. Bu durum, snmpd işleminin (SNMP daemon) kontrol düzlemi üzerinde yüklü bir bellek tüketimine neden olur.
Saldırı Senaryosu ve Etki
Saldırganlar, SNMP v1 veya v2c’nin devre dışı bırakıldığı BIG-IP sistemlerinde, sistemin bellek yönetiminde meydana gelen bu zayıflığı istismar edebilmektedir. Açığa yol açan istekler, bellek kullanımında kademeli artışa neden olarak, snmpd sürecinde performans düşüşüne ve sonunda hizmet kesintisine (Denial-of-Service – DoS) yol açabilir. Saldırı, doğrudan kontrol düzlemini etkilerken, veri düzlemi trafiğinde de dolaylı olarak aksamalara neden olabilir.
CVSS Değerleri
Bu açığın ciddiyeti, iki farklı CVSS skoruyla değerlendirilmiştir:
- CVSS v3.1 Skoru: 7.5 (Yüksek Ciddiyet)
- CVSS v4.0 Skoru: 8.7 (Yüksek Ciddiyet)
Bu skorlar, açığın kritik bir tehdit oluşturduğunu ve acil müdahale gerektirdiğini göstermektedir.
Etkilenen Sürümler ve Ürünler
Etkilenen BIG-IP Sürümleri
Açığın etki alanı, belirli BIG-IP sürümleri ile sınırlıdır:
- 17.x Serisi: 17.1.0 – 17.1.1 sürümleri; sorun 17.1.2 sürümünde giderilmiştir.
- 16.x Serisi: 16.1.0 – 16.1.5 sürümleri; Hotfix-BIGIP-16.1.5.2.0.7.5-ENG.iso ile çözüm sağlanmıştır.
- 15.x Serisi: 15.1.0 – 15.1.10 sürümleri; Hotfix-BIGIP-15.1.10.6.0.11.6-ENG.iso ile sorun giderilmiştir.
Etkilenmeyen Ürünler
F5, aşağıdaki ürünlerin bu açığa maruz kalmadığını doğrulamıştır:
- BIG-IP Next (tüm modüller)
- BIG-IQ Centralized Management
- F5 Distributed Cloud Services
- NGINX (tüm ürünler)
- F5OS-A ve F5OS-C
- Traffix SDC
Güvenlik Etkileri ve Saldırı Senaryosu
Performans ve Hizmet Sürekliliği
Açığın temel etkisi, SNMP yapılandırmasının devre dışı bırakıldığı durumlarda, sistem belleğinin kontrolsüz bir şekilde artması sonucu snmpd sürecinin yavaşlaması veya tamamen durmasıdır. Sonuç olarak, sistem performansı düşer ve manuel veya otomatik müdahale olmadan hizmet kesintileri yaşanabilir. Bu durum, özellikle kritik altyapılarda hizmet sürekliliğini tehdit eder.
Kontrol ve Veri Düzlemi Arasındaki Etkileşim
Her ne kadar sorun doğrudan SNMP işlemlerini yürüten kontrol düzlemi üzerinde görülse de, kontrol düzlemi üzerindeki kesintiler veri düzleminin trafiğini dolaylı olarak etkileyebilir. Bu nedenle, açığın giderilmesi, hem sistem yönetimi hem de veri akışının sağlıklı bir şekilde sürdürülmesi açısından önem arz etmektedir.
Mitigasyon ve Tavsiye Edilen Adımlar
SNMP’yi Yeniden Etkinleştirme
Açığın istismar edilmesini önlemek için önerilen ilk adım, SNMP’nin yeniden etkinleştirilmesidir. Bunun için TMOS Shell üzerinden aşağıdaki komutlar kullanılabilir:
- TMOS Shell’e Giriş:
tmsh - SNMP v1 ve v2c’yi Etkinleştirme:
modify sys snmp snmpv2c enable modify sys snmp snmpv1 enable - Değişiklikleri Kaydetme:
save /sys config - Shell’den Çıkış:
quit
Bu adımlar, SNMP’yi yeniden aktif hale getirerek belleğin kontrolsüz kullanımını engellemeyi hedefler.
Erişim Kısıtlaması ve Güvenlik Duvarı Kuralları
SNMP portlarına yönelik erişimlerin, yönetim arayüzü üzerinden sınırlanması gerekmektedir. Ağ güvenlik duvarı kuralları ile SNMP isteklerinin sadece güvenilir kaynaklardan gelmesi sağlanmalıdır. Bu, istenmeyen erişimlerin ve potansiyel saldırı vektörlerinin minimize edilmesine yardımcı olur.
Yüksek Erişilebilirlik (HA) Yapılandırması
Ayrıca, BIG-IP sistemlerinin yüksek erişilebilirlik (High Availability – HA) konfigürasyonu ile yapılandırılması, herhangi bir hizmet kesintisinin etkilerini azaltır. HA yapılandırması, bir bileşende oluşabilecek arızanın sistemin genel performansını etkilemesini önler ve kesintilere karşı otomatik failover mekanizmalarını devreye sokar.
Sonuç
F5 BIG-IP sistemlerinde tespit edilen CVE-2025-21091 açığı, SNMP yapılandırması ile ilişkili ciddi bir bellek yönetimi hatasına dayanmaktadır. SNMP v1 veya v2c’nin devre dışı bırakıldığı durumlarda, saldırganların gerçekleştirebileceği bu istismar, kontrol düzlemi üzerinde yoğun bellek tüketimiyle hizmet kesintilerine yol açmaktadır. Etkilenen sürümlerin güncellenmesi, SNMP’nin yeniden etkinleştirilmesi, erişim kısıtlamalarının uygulanması ve HA yapılandırmasının devreye alınması, bu açığa karşı alınması gereken temel önlemlerdir. Kurumsal ağ güvenliği açısından, bu tür kritik açıkların hızlı bir şekilde tespit edilip giderilmesi, hizmet sürekliliğinin ve sistem performansının korunması için hayati öneme sahiptir.
About the Author
