📄 Description (English)
When running in Appliance mode, a directory traversal vulnerability exists in an undisclosed iControl REST endpoint that may allow an authenticated attacker with administrator role privileges to cross a security boundary and delete files. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
🤖 AI Executive Summary
A directory traversal vulnerability in iControl REST endpoints allows authenticated administrators to delete arbitrary files when running in Appliance mode. While requiring admin privileges and lacking public exploits, this vulnerability poses a significant risk to F5 BIG-IP deployments common in Saudi critical infrastructure. The absence of available patches necessitates immediate compensating controls and network segmentation.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: May 15, 2026 11:19
🇸🇦 Saudi Arabia Impact Assessment
Saudi banking sector (SAMA-regulated institutions) and government agencies using F5 BIG-IP appliances for load balancing and security are at highest risk. Energy sector (ARAMCO, SEC) and telecommunications (STC, Mobily) infrastructure relying on F5 appliances for critical services face potential service disruption through file deletion. Healthcare organizations and NCA-regulated entities using F5 infrastructure could experience data integrity and availability impacts. The vulnerability is particularly concerning given F5's prevalence in Saudi critical infrastructure protection.
🏢 Affected Saudi Sectors
Banking and Financial Services (SAMA-regulated)
Government and Public Administration (NCA-regulated)
Energy and Utilities (ARAMCO, SEC)
Telecommunications (STC, Mobily, Zain)
Healthcare
Critical Infrastructure
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
7.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Inventory all F5 BIG-IP appliances running in Appliance mode across your organization
2. Restrict iControl REST API access to trusted administrative networks only using firewall rules
3. Implement network segmentation to isolate F5 management interfaces from untrusted networks
4. Enable comprehensive audit logging for all iControl REST API calls and file system operations
5. Review administrator account access logs for suspicious activity
PATCHING GUIDANCE:
1. Contact F5 support immediately to determine if your specific version has available patches
2. If patches are available, schedule patching during maintenance windows with change management approval
3. Test patches in non-production environments first
COMPENSATING CONTROLS (if no patch available):
1. Implement Web Application Firewall (WAF) rules to block directory traversal patterns in iControl REST requests
2. Deploy API gateway with request validation to sanitize file path parameters
3. Restrict iControl REST API access to specific IP addresses/subnets
4. Implement role-based access control (RBAC) to minimize administrator accounts
5. Use file integrity monitoring (FIM) to detect unauthorized file deletions
6. Enable read-only mode for critical configuration files where possible
DETECTION RULES:
1. Monitor for iControl REST requests containing path traversal sequences (../, ..\, %2e%2e)
2. Alert on DELETE operations via iControl REST API
3. Track file deletion events in /var, /etc, and other critical directories
4. Monitor for failed authentication attempts followed by successful admin logins
5. Implement SIEM rules to correlate iControl API calls with subsequent file system changes
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. قم بجرد جميع أجهزة F5 BIG-IP التي تعمل في وضع الجهاز عبر مؤسستك
2. قيد وصول واجهة برمجة تطبيقات iControl REST إلى شبكات إدارية موثوقة فقط باستخدام قواعد جدار الحماية
3. تنفيذ تقسيم الشبكة لعزل واجهات إدارة F5 عن الشبكات غير الموثوقة
4. تفعيل تسجيل التدقيق الشامل لجميع استدعاءات واجهة برمجة تطبيقات iControl REST وعمليات نظام الملفات
5. مراجعة سجلات وصول حساب المسؤول للنشاط المريب
إرشادات التصحيح:
1. اتصل بدعم F5 على الفور لتحديد ما إذا كانت نسختك المحددة تحتوي على تصحيحات متاحة
2. إذا كانت التصحيحات متاحة، قم بجدولة التصحيح أثناء نوافذ الصيانة مع موافقة إدارة التغيير
3. اختبر التصحيحات في بيئات غير الإنتاج أولاً
الضوابط التعويضية (إذا لم يكن هناك تصحيح متاح):
1. تنفيذ قواعد جدار تطبيقات الويب (WAF) لحظر أنماط اجتياز الدليل في طلبات iControl REST
2. نشر بوابة API مع التحقق من الطلب لتنظيف معاملات مسار الملف
3. تقييد وصول واجهة برمجة تطبيقات iControl REST إلى عناوين IP/الشبكات المحددة
4. تنفيذ التحكم في الوصول القائم على الأدوار (RBAC) لتقليل حسابات المسؤول
5. استخدام مراقبة سلامة الملفات (FIM) للكشف عن حذف الملفات غير المصرح به
6. تفعيل الوضع المقروء فقط للملفات الإعدادات الحرجة حيث أمكن
قواعد الكشف:
1. مراقبة طلبات iControl REST التي تحتوي على تسلسلات اجتياز المسار (../, ..\, %2e%2e)
2. تنبيه على عمليات DELETE عبر واجهة برمجة تطبيقات iControl REST
3. تتبع أحداث حذف الملفات في /var و /etc والدلائل الحرجة الأخرى
4. مراقبة محاولات المصادقة الفاشلة متبوعة بعمليات تسجيل دخول المسؤول الناجحة
5. تنفيذ قواعل SIEM لربط استدعاءات iControl API مع التغييرات اللاحقة في نظام الملفات
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
ECC 2024 A.5.1.1 - Access Control Policies
ECC 2024 A.8.1.1 - User Registration and De-registration
ECC 2024 A.8.2.1 - User Access Rights
ECC 2024 A.8.3.1 - Management of Privileged Access Rights
ECC 2024 A.12.4.1 - Event Logging
ECC 2024 A.12.4.3 - Administrator and Operator Logs
🔵 SAMA CSF
SAMA CSF ID.AM-2 - Hardware and Software Assets
SAMA CSF PR.AC-1 - Identities and Credentials
SAMA CSF PR.AC-4 - Access Rights Management
SAMA CSF DE.CM-1 - Network Monitoring
SAMA CSF DE.AE-1 - Audit Logs
🟡 ISO 27001:2022
ISO 27001:2022 A.5.3 - Segregation of Duties
ISO 27001:2022 A.8.2 - User Access Management
ISO 27001:2022 A.8.3 - Management of Privileged Access
ISO 27001:2022 A.8.4 - Access Rights Review
ISO 27001:2022 A.12.4 - Logging
🟣 PCI DSS v4.0.1
PCI DSS 2.1 - Default Passwords
PCI DSS 7.1 - Limit Access to System Components
PCI DSS 8.1 - User Identification
PCI DSS 10.2 - Implement Automated Audit Trails
🔗 References & Sources 1