F5 Networks đã công bố một lỗ hổng CVE HTTP/2 mới, ảnh hưởng đến nhiều sản phẩm BIG-IP. Lỗ hổng này có khả năng cho phép kẻ tấn công thực hiện các cuộc tấn công từ chối dịch vụ (DoS) nghiêm trọng nhắm vào các mạng doanh nghiệp. Đây là một lỗ hổng nghiêm trọng cần được các tổ chức lưu ý.

Được định danh là CVE-2025-54500, lỗ hổng này được công bố vào ngày 13 tháng 8 năm 2025. Nó khai thác một điểm yếu cơ bản trong triển khai giao thức HTTP/2, đặc biệt liên quan đến cách thức xử lý các khung điều khiển (control frames).

Kẻ tấn công có thể lợi dụng điều này để làm quá tải hệ thống bằng cách sử dụng các khung điều khiển được chế tạo đặc biệt. Hành vi này tiềm ẩn nguy cơ phá vỡ cơ sở hạ tầng mạng quan trọng trên toàn cầu, gây ra gián đoạn hoạt động kinh doanh nghiêm trọng.

Phân tích Kỹ thuật “HTTP/2 MadeYouReset Attack”

Lỗ hổng mới được xác định, còn được gọi là “HTTP/2 MadeYouReset Attack”, đại diện cho một rủi ro bảo mật đáng kể đối với các tổ chức đang phụ thuộc vào hệ thống F5 BIG-IP cho các chức năng cân bằng tải và phân phối ứng dụng thiết yếu.

Bản chất của cuộc tấn công này nằm ở việc khai thác các khung điều khiển HTTP/2 bị lỗi hoặc không đúng định dạng. Mục tiêu chính là vượt qua giới hạn về số lượng luồng đồng thời tối đa mà một hệ thống có thể xử lý hiệu quả.

Khi giới hạn này bị phá vỡ, kẻ tấn công từ xa, không cần xác thực, có thể gây ra sự gia tăng đột biến và không kiểm soát được mức sử dụng CPU trên thiết bị F5 BIG-IP. Tình trạng này có thể nhanh chóng dẫn đến việc hệ thống không thể xử lý thêm yêu cầu nào nữa, gây ra tình trạng từ chối dịch vụ hoàn toàn.

Đánh giá Mức độ Nghiêm trọng của Lỗ hổng CVE-2025-54500

F5 đã phân loại lỗ hổng CVE-2025-54500 này theo chuẩn CWE-770: Allocation of Resources Without Limits or Throttling. Điều này nhấn mạnh bản chất của vấn đề là sự thiếu kiểm soát về tài nguyên.

Mức độ nghiêm trọng của lỗ hổng được đánh giá là 5.3 trên thang điểm CVSS v3.1 (mức trung bình) và 6.9 trên thang điểm CVSS v4.0 mới hơn. Mặc dù không phải là điểm CVSS cao nhất, khả năng gây ra DoS vẫn tạo ra rủi ro bảo mật đáng kể cho tính khả dụng của dịch vụ.

F5 cũng đã làm rõ rằng đây là vấn đề chỉ liên quan đến mặt phẳng dữ liệu (data plane) và không có sự tiếp xúc với mặt phẳng điều khiển (control plane). Điều này có nghĩa là lỗ hổng CVE này ảnh hưởng trực tiếp đến quá trình xử lý lưu lượng truy cập qua thiết bị, nhưng không trực tiếp ảnh hưởng đến các chức năng quản lý hoặc cấu hình hệ thống.

Lỗ hổng này được phát hiện và báo cáo một cách có trách nhiệm bởi các nhà nghiên cứu Gal Bar Nahum, Anat Bremler-Barr, và Yaniv Harel. Họ đã hợp tác chặt chẽ với F5 để đảm bảo vấn đề được khắc phục trước khi thông tin được công bố rộng rãi.

Phạm vi Ảnh hưởng và Các Phiên bản BIG-IP Bị Tổn Thương

Lỗ hổng HTTP/2 MadeYouReset Attack ảnh hưởng đến một loạt các sản phẩm của F5, trong đó các hệ thống F5 BIG-IP chịu ảnh hưởng chính trên nhiều phiên bản khác nhau. Các tổ chức cần kiểm tra kỹ lưỡng hệ thống của mình để xác định mức độ phơi nhiễm với lỗ hổng nghiêm trọng này.

Cụ thể, các sản phẩm BIG-IP chạy phiên bản từ 15.1.0 đến 17.5.1 được coi là dễ bị tổn thương khi chúng được cấu hình với các profile HTTP/2. Sự hiện diện của profile HTTP/2 là điều kiện tiên quyết để lỗ hổng này có thể bị khai thác.

Các dòng sản phẩm bị ảnh hưởng bao gồm BIG-IP LTM (Local Traffic Manager), APM (Access Policy Manager), ASM (Application Security Manager), DNS (Domain Name System), và nhiều module khác. Các module này thuộc các nhánh phiên bản 15.x, 16.x, và 17.x.

F5 đã nhanh chóng phát hành các bản vá nóng (engineering hotfixes) để khắc phục lỗ hổng CVE-2025-54500 này cho một số nhánh sản phẩm. Ví dụ, Hotfix-BIGIP-17.5.1.0.80.7-ENG.iso đã được cung cấp cho nhánh 17.x, và Hotfix-BIGIP-16.1.6.0.27.3-ENG.iso cho các hệ thống 16.x.

Tuy nhiên, một thách thức lớn đặt ra là hiện tại không có bản vá nào được cung cấp cho nhánh 15.x. Điều này buộc các quản trị viên đang sử dụng hệ thống F5 BIG-IP cũ hơn phải dựa hoàn toàn vào các chiến lược giảm thiểu thay thế để bảo vệ hệ thống của mình khỏi tấn công mạng.

Cần lưu ý rằng một số sản phẩm của F5 vẫn không bị ảnh hưởng bởi lỗ hổng này. Danh sách bao gồm BIG-IQ Centralized Management, F5 Distributed Cloud services, F5OS systems, và tất cả các sản phẩm NGINX. Dịch vụ F5 Silverline dễ bị tổn thương nhưng chỉ trong trường hợp HTTP/2 được kích hoạt trên cấu hình proxy của chúng.

Chiến lược Giảm thiểu và Khắc phục cho Lỗ hổng CVE

Đối với các tổ chức không có khả năng hoặc không thể áp dụng ngay lập tức các bản vá đã được F5 phát hành, việc triển khai các phương pháp giảm thiểu là cực kỳ quan trọng. Các chiến lược này nhằm mục đích giảm thiểu rủi ro bảo mật và bảo vệ hệ thống khỏi các cuộc tấn công mạng từ lỗ hổng này.

Phương pháp 1: Vô hiệu hóa HTTP/2

Giải pháp hiệu quả và đơn giản nhất là vô hiệu hóa giao thức HTTP/2 trên các hệ thống F5 BIG-IP có liên quan và quay trở lại sử dụng HTTP tiêu chuẩn. Phương pháp này loại bỏ trực tiếp vector tấn công của lỗ hổng CVE-2025-54500 trong khi vẫn duy trì chức năng cơ bản của ứng dụng.

Quản trị viên có thể thực hiện thay đổi này thông qua giao diện người dùng đồ họa (GUI) hoặc giao diện dòng lệnh (CLI) của BIG-IP. Việc này thường bao gồm thay đổi loại profile dịch vụ được gán cho máy chủ ảo từ HTTP/2 sang profile HTTP tiêu chuẩn.

Ví dụ cấu hình CLI để thay đổi profile HTTP/2 sang HTTP:

tmsh modify ltm virtual <virtual_server_name> profiles add { http { context clientside } }
tmsh modify ltm virtual <virtual_server_name> profiles delete { http2 { context clientside } }
tmsh save sys config

Lưu ý: Thay <virtual_server_name> bằng tên máy chủ ảo thực tế của bạn.

Phương pháp 2: Tận dụng Bảo vệ DoS với BIG-IP ASM/Advanced WAF

Đối với các tổ chức đã triển khai F5 BIG-IP ASM (Application Security Manager) hoặc Advanced WAF (Web Application Firewall), F5 đề xuất sử dụng các profile bảo vệ DoS. Các profile này cần được cấu hình chuyên biệt với các thuộc tính dựa trên TPS (Transactions Per Second) và stress, bao gồm các khả năng Behavioral DoS Detection and Mitigation.

Các profile bảo vệ DoS này nên được liên kết với các máy chủ ảo (virtual servers) đang sử dụng HTTP/2. Việc cấu hình cần được tinh chỉnh với các cài đặt ngưỡng và giảm thiểu phù hợp với đặc thù của từng môi trường. Điều này giúp hệ thống chủ động phát hiện và phản ứng với các hành vi tấn công từ chối dịch vụ trước khi chúng gây ra gián đoạn nghiêm trọng.

Một cấu hình mẫu cho Behavioral DoS Detection trong ASM có thể như sau:

Security > DoS Protection > DoS Profiles
    Create New Profile: HTTP2_DoS_Protection_Profile
    Set Application Type: HTTP/2
    Configure Thresholds for TPS (Transactions Per Second):
        Detection Threshold: e.g., 2000 requests/sec (based on baseline)
        Mitigation Threshold: e.g., 3000 requests/sec
    Enable Stress-Based Detection: Yes
    Configure Mitigation Methods:
        Rate Limiting: Set burst and rate limits
        Client Side Integrity Defense: Enable CAPTCHA or JavaScript challenges
    Apply Profile to Virtual Server:
        Navigate to the HTTP/2 Virtual Server configuration and attach 'HTTP2_DoS_Protection_Profile'

Phương pháp 3: Giám sát Hệ thống và Phát hiện Sớm Tấn công

Các quản trị viên hệ thống cần thực hiện giám sát liên tục và chặt chẽ thống kê profile HTTP/2 của thiết bị BIG-IP để phát hiện các dấu hiệu bất thường có thể chỉ ra một cuộc tấn công mạng. Đặc biệt, cần chú ý đến sự xuất hiện của số lượng khung RST_STREAM được gửi và khung WINDOW_UPDATE được nhận không cân xứng so với lưu lượng truy cập client thông thường.

Sự gia tăng đột biến và không giải thích được về tải CPU trên thiết bị, đi kèm với những bất thường thống kê này, có thể là dấu hiệu rõ ràng của các nỗ lực khai thác lỗ hổng CVE-2025-54500 đang diễn ra. Khi phát hiện các dấu hiệu này, cần có sự chú ý và phản ứng ngay lập tức để ngăn chặn thiệt hại.

Để kiểm tra thống kê HTTP/2 chi tiết, quản trị viên có thể sử dụng giao diện dòng lệnh trên BIG-IP. Lệnh tmsh là công cụ mạnh mẽ để truy vấn thông tin này:

tmsh show ltm profile http2 <profile_name> field-fmt

Lệnh này sẽ hiển thị các số liệu thống kê liên quan đến profile HTTP/2, bao gồm số lượng khung đã gửi và nhận, lỗi, và các sự kiện bất thường. Việc thường xuyên xem xét các chỉ số này là một phần không thể thiếu trong chiến lược bảo mật để đối phó với các lỗ hổng nghiêm trọng.

Việc theo dõi chặt chẽ các chỉ số hiệu suất hệ thống và phân tích nhật ký bảo mật là rất quan trọng để phát hiện sớm các dấu hiệu của cuộc tấn công từ chối dịch vụ. Điều này giúp các tổ chức củng cố an ninh mạng và bảo vệ hệ thống của mình khỏi các mối đe dọa tiềm tàng, đặc biệt là những lỗ hổng CVE mới nổi.