F5 Networks ha revelado una nueva vulnerabilidad HTTP/2 que afecta a múltiples productos Big-IP que podría permitir a los atacantes remotos lanzar ataques de denegación de servicio contra redes corporativas.
La falla de seguridad, designada CVE-2025-54500 y denominada “HTTP/2 MadeYoureset Attack”, se publicó el 13 de agosto de 2025, con actualizaciones lanzadas el 15 de agosto.
La vulnerabilidad explota los marcos de control HTTP/2 malformados para abrumar a los sistemas y se le ha asignado una clasificación de gravedad media con puntajes CVSS de 5.3 (v3.1) y 6.9 (v4.0).
Exploit de protocolo HTTP/2 descubierto
La vulnerabilidad recién descubierta representa una falla de implementación significativa en cómo los productos F5 manejan las comunicaciones HTTP/2.
Los investigadores de seguridad han identificado que los atacantes pueden manipular los marcos de control HTTP/2 malformados para romper el límite máximo de las corrientes concurrentes, evitando efectivamente las salvaguardas de protocolo incorporadas.
El método de ataque permite a los atacantes remotos y no autenticados causar aumentos sustanciales en el uso de la CPU, lo que potencialmente conduce a una negación completa del servicio en los sistemas afectados de IP Big-IP.
Las características clave de esta vulnerabilidad incluyen:
Tipo de ataque: HTTP/2 MadeYoureset Attack utilizando marcos de control malformados. Se requiere autenticación: Ninguno – Explotación remota, no autenticada posible. Impacto primario: agotamiento de los recursos de la CPU que conduce a la negación del servicio. Clasificación: CWE-770 (asignación de recursos sin límites o estranguladores). Nivel de exposición: solo plano de datos, sin compromiso del plano de control. IDS internos F5: 1937817 (Big-IP), 1937817-5 (Big-IP Next), 1937817-6 (Next SPK/CNF/K8S).
Lo que hace que esta vulnerabilidad sea particularmente preocupante es su clasificación bajo CWE-770: asignación de recursos sin límites o estranguladores, lo que indica que el ataque explota la incapacidad de los sistemas para administrar adecuadamente la asignación de recursos.
Es importante destacar que esto se clasifica solo como un problema del plano de datos, lo que significa que no hay exposición al plano de control, lo que limita el potencial de compromisos más graves del sistema.
Productos F5 ampliamente afectados
La vulnerabilidad afecta una amplia gama de productos F5, con sistemas de IP grandes que llevan la peor parte del impacto. Las versiones vulnerables incluyen Big-IP 17.X (versiones 17.5.0-17.5.1 y 17.1.0-17.1.2), Big-IP 16.X (versiones 16.1.0-16.1.6) y Big-IP 15.x (versiones 15.1.0-15.1.10).
F5 tiene liberado Hotfixes de ingeniería para las sucursales 17.X y 16.X, específicamente Hotfix-Bigip-17.5.1.0.80.7-eng.iso y Hotfix-Bigip-17.1.2.0.259.12-eng.iso para la serie 17.X, y Hotfix-Bigip-16.1.6.0.27.3-eng.iso para la serie 16.X.
Los productos de Big-IP Next también se ven afectados, incluidas las versiones 20.3.0 y varias implementaciones SPK, CNF y Kubernetes.
Sin embargo, varios productos F5 no se ven afectados, incluida la gestión centralizada Big-IQ, los servicios en la nube distribuidos F5, los productos NGINX, los sistemas F5OS y la puerta de enlace F5 AI. Los servicios F5 Silverline son vulnerables solo cuando las configuraciones proxy habilitadas para HTTP/2 están en uso.
F5 recomienda fuertemente la implementación inmediata de las hotías disponibles para los sistemas afectados, al tiempo que reconoce que las hotías de ingeniería no se someten a las amplias pruebas de garantía de calidad de las versiones regulares.
Para las organizaciones que no pueden aplicar parches de inmediato, F5 sugiere varias estrategias de mitigación. La recomendación principal es deshabilitar HTTP/2 y volver a HTTP, donde las configuraciones permiten este cambio.
Las opciones de mitigación adicionales incluyen la implementación de perfiles de protección ASM ASM/IP Big-IP/WAF avanzados con TPS y atributos basados en el estrés, incluidas las capacidades de detección y mitigación de DOS de comportamiento.
Para las implementaciones de SPK, CNF y Kubernetes Big-IP, los administradores pueden eliminar el recurso personalizado F5SPKINGRESSHTP2 siempre que sea posible.
Los administradores del sistema deben monitorear estadísticas de perfil HTTP/2, observando un número inusualmente altos de marcos RST_STREAM enviados y los marcos de Window_Update recibidos, lo que puede indicar intentos de explotación activos.
F5 reconoce a los investigadores de seguridad Gal Bar Nahum, Anat Bremler-Barr y Yaniv Harel por descubrir y revelar de manera responsable esta vulnerabilidad.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
