F5 Networks, 13 Ağustos 2025 tarihinde, BIG-IP ürünlerini etkileyen kritik bir HTTP/2 güvenlik açığı açıkladı. “HTTP/2 MadeYouReset Attack” olarak adlandırılan bu güvenlik açığı (CVE-2025-54500), uzaktan kimlik doğrulamasız saldırganların kurumsal ağlara karşı hizmet reddi (DoS) saldırıları başlatmasına olanak tanımaktadır.
Güvenlik Açığı Detayları
Genel Bilgiler
- CVE Numarası: CVE-2025-54500
- Saldırı Adı: HTTP/2 MadeYouReset Attack
- Yayın Tarihi: 13 Ağustos 2025
- Güncelleme Tarihi: 15 Ağustos 2025
- Önem Derecesi: Orta Seviye
- CVSS v3.1 Skoru: 5.3
- CVSS v4.0 Skoru: 6.9
- CWE Sınıflandırması: CWE-770 (Sınır veya Kısıtlama Olmaksızın Kaynak Tahsisi)
F5 İç ID’leri
- BIG-IP: 1937817
- BIG-IP Next: 1937817-5
- BIG-IP Next SPK/CNF/K8s: 1937817-6
Teknik Açıklama
Saldırı Mekanizması
Bu güvenlik açığı, HTTP/2 protokolünün uygulanmasındaki bir kusuru istismar etmektedir. Saldırganlar, bozuk HTTP/2 kontrol çerçeveleri kullanarak sistemin maksimum eş zamanlı akış sınırını aşabilmekte ve yerleşik protokol güvenlik önlemlerini bypass edebilmektedir.
Saldırının Özellikleri
- Saldırı Türü: Bozuk HTTP/2 kontrol çerçeveleri kullanan MadeYouReset saldırısı
- Kimlik Doğrulama Gereksinimi: Yok – uzaktan, kimlik doğrulamasız istismar mümkün
- Birincil Etki: CPU kaynak tükenmesi ve hizmet reddi
- Etki Alanı: Yalnızca veri düzlemi, kontrol düzlemi tehlikede değil
Teknik Detaylar
Saldırı, sistemlerin kaynak tahsisini düzgün bir şekilde yönetememesi problemini istismar etmektedir. Bu durum, CWE-770 sınıflandırması altında kategorize edilmiştir ve sistemin sınırsız veya kısıtlanmamış kaynak tahsisi yapmasından kaynaklanmaktadır.
Etkilenen Ürünler
BIG-IP Sistemleri
Zafiyet İçeren Sürümler:
- BIG-IP 17.x: 17.5.0-17.5.1 ve 17.1.0-17.1.2
- BIG-IP 16.x: 16.1.0-16.1.6
- BIG-IP 15.x: 15.1.0-15.1.10
Mevcut Düzeltmeler:
- 17.x Serisi:
- Hotfix-BIGIP-17.5.1.0.80.7-ENG.iso
- Hotfix-BIGIP-17.1.2.2.0.259.12-ENG.iso
- 16.x Serisi:
- Hotfix-BIGIP-16.1.6.0.27.3-ENG.iso
- 15.x Serisi: Henüz düzeltme mevcut değil
BIG-IP Next Ürünleri
- BIG-IP Next (tüm modüller): 20.3.0
- BIG-IP Next SPK: 2.0.0-2.0.2, 1.7.0-1.9.2
- BIG-IP Next CNF: 2.0.0-2.0.2, 1.1.0-1.4.1
- BIG-IP Next for Kubernetes: 2.0.0
F5 Silverline Hizmetleri
F5 Silverline hizmetleri yalnızca HTTP/2 etkin proxy yapılandırmaları kullanıldığında zafiyet içermektedir.
Etkilenmeyen Ürünler
- BIG-IQ Centralized Management
- F5 Distributed Cloud hizmetleri
- NGINX ürünleri
- F5OS sistemleri
- F5 AI Gateway
- BIG-IP Next Central Manager
Risk Değerlendirmesi
Potansiyel Etkiler
- CPU Kaynak Tükenmesi: Saldırı, hedef sistemlerde CPU kullanımında önemli artışlara neden olabilir
- Hizmet Reddi: Yoğun CPU kullanımı, BIG-IP sistemlerinde tamamen hizmet durdurulmasına yol açabilir
- İş Sürekliliği Kesintisi: Kritik ağ altyapısının etkilenmesi durumunda operasyonel kesintiler yaşanabilir
- Performans Düşüşü: Saldırı aktif olmasa bile, sistem performansında genel düşüş gözlemlenebilir
Risk Faktörleri
- Uzaktan erişim gerektirmemesi
- Kimlik doğrulamasına ihtiyaç duymaması
- HTTP/2 protokolünün yaygın kullanımı
- Saldırının tespit edilmesinin zorluğu
Çözüm ve Düzeltme Stratejileri
Birincil Çözümler
1. Mühendislik Yamalarının Uygulanması
F5, etkilenen sistemler için acil mühendislik yamaları yayınlamıştır. Bu yamalar:
- Normal yazılım sürümlerinin kapsamlı kalite güvencesi testlerinden geçmemiştir
- F5 tarafından kullanılabilirlik garantisi veya warranty sağlanmamaktadır
- MyF5 Downloads sayfasından indirilebilir
2. HTTP/2’nin Devre Dışı Bırakılması
Yapılandırma izin veriyorsa, HTTP/2’yi devre dışı bırakıp HTTP’ye geri dönülmesi önerilmektedir. Bu, en etkili geçici çözümdür.
Alternatif Azaltma Stratejileri
BIG-IP ASM/Advanced WAF Koruması
- TPS ve stres tabanlı özniteliklerle DoS koruma profili oluşturma
- Davranışsal DoS Algılama ve Azaltma yeteneklerini etkinleştirme
- HTTP/2 sanal sunucusu ile ASM/Advanced WAF DoS koruma profilini ilişkilendirme
BIG-IP Next SPK/CNF/Kubernetes İçin
Mümkün olduğunda F5SPKIngressHTTP2 Özel Kaynağının silinmesi önerilmektedir.
Sistem Kaynaklarının Artırılması
- Tek CPU BIG-IP VE, küçük vCMP guest’ler ve F5OS tenant dağıtımları için CPU çekirdek sayısının artırılması
- Crypto işlem kapasitesinin artırılması ve per-TMM crypto limitinin ayarlanması
Saldırı Tespiti
İzleme Göstergeleri
HTTP/2 profil istatistiklerinde aşağıdaki anormal durumlar saldırı göstergesi olabilir:
- RST_STREAM Çerçeveleri: Gönderilen RST_STREAM çerçeve sayısında anormal artış
- WINDOW_UPDATE Çerçeveleri: Alınan WINDOW_UPDATE çerçeve sayısında anormal artış
- CPU Kullanımı: Sistem CPU yükünde önemli ve sorunlu artış
İstatistik İzleme
- Configuration utility kullanarak HTTP/2 profil istatistiklerinin görüntülenmesi
- tmsh komut satırı aracılığıyla izleme
- SNMP kullanarak sürekli izleme kurulması
About the Author
