BIG-IP 製品群の脆弱性 CVE-2025-54500 が FIX:HTTP/2 の欠陥を突くサービス拒否攻撃

F5 Fixes HTTP/2 Flaw Affecting Multiple Products in Massive DoS Attacks

2025/08/15 gbhackers — 2025年8月13日に、F5 Networks が公表したのは、複数の BIG-IP 製品に影響を与える、新たな HTTP/2 の脆弱性 CVE-2025-54500 に関する情報である。この脆弱性を悪用する攻撃者は、HTTP/2 実装の欠陥を突き、細工された制御フレームを用いてシステムを圧倒し、エンタープライズ・ネットワークに対してサービス拒否攻撃を仕掛けられる。その結果として、世界中の組織の重要なネットワーク・インフラに混乱が生じる恐れがある。

新たな攻撃:HTTP/2 プロトコルが標的

HTTP/2 Made You Reset 攻撃と呼ばれる脆弱性は、負荷分散およびアプリケーション配信に F5 の BIG-IP システムを使用する組織にとって、深刻なセキュリティ上の懸念を引き起こすものとなる。

この攻撃は、不正な HTTP/2 制御フレームを悪用し、最大同時ストリーム数の制限を破ることで成立する。それにより、未認証のリモート攻撃者は、CPU 使用率を大幅に増加させ、システム全体に及ぶサービス拒否の可能性を手にする。

F5 のセキュリティアドバイザリによると、この脆弱性は CWE-770 (不適切なリソース割り当て) に分類され、CVSS v3.1 スコア 5.3/CVSS v4.0 スコア 6.9 (Medium) と評価されている。

重要なことは、この脆弱性は制御プレーンへの露出がなく、データプレーンのみの問題であると、F5 が強調している点である。すなわち、この脆弱性はシステム管理機能ではなくトラフィック処理に影響する。

この脆弱性は、研究者 Gal Bar Nahum/Anat Bremler-Barr/Yaniv Harel により発見/報告された。彼らは、責任ある情報開示の手順に従い、F5 と協力することで公表前に問題に対処した。

主な技術的詳細:

  • 攻撃方法:不正な HTTP/2 制御フレームが、最大同時ストリーム数の制限を回避する。
  • 必要なアクセス:悪用に必要なものは未認証のリモート・アクセスとなる。
  • 主な影響:CPU リソースの枯渇によるサービス拒否。
  • 影響を受けるコンポーネント:HTTP/2 プロファイルのみをコンフィグした仮想サーバ。
  • 攻撃分類:CWE-770:リソース割り当ての脆弱性。
  • 発見タイムライン:セキュリティ研究者による責任ある情報開示プロセス。
F5 製品への広範な影響

この脆弱性は、広範な F5 製品ラインに影響を及ぼす。特に、BIG-IP システムの複数バージョンに大きな影響を及ぼすが、その対象は、BIG-IP のバージョン 15.1.0~17.5.1 を実行し、HTTP/2 プロファイルがコンフィグされている場合となる。

これらの影響を受ける製品ラインには、BIG-IP LTM/APM/ASM/DNS の、15.x/16.x/17.x ブランチなどの、多数のモジュールが含まれる。

すでに F5 がリリースしたものには、17.x ブランチ向けの Hotfix-BIGIP-17.5.1.0.80.7-ENG.iso/16.x システム向けの Hotfix-BIGIP-16.1.6.0.27.3-ENG.iso などの、複数製品ブランチ向けのエンジニアリング・ホット・フィックスがある。

ただし、15.x ブランチ向けの修正プログラムは提供されないため、古いシステムを使用する管理者は代替の緩和策を検討する必要がある。

なお、この脆弱性の影響を受けないものには、BIG-IQ Centralized Management/F5 Distributed Cloud サービス/F5OS システム/NGINX 製品などがある。さらに、F5 Silverline サービスは、プロキシ設定で HTTP/2 が有効化されている場合にのみ、この脆弱性の影響を受ける。

緩和策とセキュリティの推奨事項

すぐにパッチを適用できない組織へ向けて、F5 は緩和策を推奨している。最も簡単な解決策は HTTP/2 を無効化し、対応が可能なシステムで標準 HTTP に戻すことである。これにより、基本機能を維持しながら、この攻撃ベクターを排除できる。

また、BIG-IP ASM/Advanced WAF のユーザーに対して推奨されるのは、 TPS (Transactions per Second) と、ストレス・ベース属性 (Behavioral DoS Detection and Mitigation 機能を含む) がコンフィグされた、DoS 保護プロファイルの実装である。これらのプロファイルを HTTP/2 仮想サーバに関連付けた上で、それぞれの環境に適した閾値と緩和設定をコンフィグする必要がある。

システム管理者にとって必要なことは、HTTP/2 プロファイルの統計情報を監視し、攻撃の兆候を確認することである。特に、通常のクライアント・トラフィックと比較して、RST_STREAM フレーム送信数や WINDOW_UPDATE フレームの受信数に不均衡が見られる場合には、注意が必要である。

これらの統計異常と CPU 負荷の大幅な増加は、アクティブなエクスプロイトの可能性を示唆するものであるため、迅速な対応が求められる。

F5 BIG-IP に見つかった Made You Reset と呼ばれる脆弱性により、HTTP/2 の仕組みが悪用されるとのことです。不正な制御フレームを送りつけることで、本来あるべき同時接続数の制限をすり抜け、CPU を過剰に消費させると、この記事は指摘しています。2025/08/14 にも、「Tomcat の脆弱性 “Made You Reset” CVE-2025-48989 が FIX:壊滅的なサービス拒否の可能性」という記事をポストしていますので、よろしければ、ご参照ください。