La vulnerabilidad permitiría que usuarios autenticados puedan causar condiciones de Denegación de Servicio o ejecutar código arbitrario.
La vulnerabilidad se ha clasificado como CVE-2023-22374, y es preciso que el atacante esté autenticado con acceso de red a iControl SOAP a través del puerto de administración BIG-IP o las direcciones IP propias para poder provocar un ataque de denegación de servicio o ejecutar código arbitrario en el sistema.
En cualquier caso, los datos no se verían comprometidos, el problema afecta solamente al plano de control.
Como esta vulnerabilidad solo puede ser explotada por usuarios autenticados se recomienda restringir el acceso al puerto de administración al personal estrictamente imprescindible.
Se proporcionan instrucciones de mitigación, pero se trata de una solución de urgencia que no ha sido sometida a pruebas en profundidad.
F5 facilita la siguiente información sobre productos vulnerables:
BIG-IP and BIG-IQ
|
Product |
Branch |
Versions known to be vulnerable1 |
Severity |
CVSSv3 score2 |
Vulnerable component or feature |
|
BIG-IP (all modules) |
17.x |
17.0.0 |
High |
7.5 - Standard deployment mode 8.5 - Appliance mode |
iControl SOAP |
|
16.x |
16.1.2.2 - 16.1.3 |
||||
|
15.x |
15.1.5.1 - 15.1.8 |
||||
|
14.x |
14.1.4.6 - 14.1.5 |
||||
|
13.x |
13.1.5 |
