📄 Description (English)
When an SSL profile is configured on a virtual server on BIG-IP Virtual Edition (VE) without Intel QuickAssist Technology (QAT) or on BIG-IP hardware platforms with the database variable crypto.hwacceleration set to disabled, undisclosed traffic can cause the Traffic Management Microkernel (TMM) to terminate.
Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
🤖 AI Executive Summary
CVE-2026-40618 is a denial-of-service vulnerability affecting F5 BIG-IP systems when SSL profiles are configured without hardware acceleration (Intel QAT disabled or crypto.hwacceleration set to disabled). Undisclosed traffic patterns can cause the Traffic Management Microkernel (TMM) to crash, resulting in service unavailability. With a CVSS score of 7.5 and no patch currently available, this poses significant risk to organizations relying on BIG-IP for load balancing and SSL/TLS termination.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: May 20, 2026 15:01
🇸🇦 Saudi Arabia Impact Assessment
This vulnerability directly impacts Saudi critical infrastructure sectors: Banking (SAMA-regulated institutions using BIG-IP for secure transaction processing), Government (NCA and federal agencies using BIG-IP for secure communications), Telecommunications (STC, Mobily, Zain using BIG-IP for SSL/TLS termination), Energy (ARAMCO and downstream operators), and Healthcare (MOH facilities). The DoS impact is particularly severe as it affects availability—a critical pillar of SAMA CSF and NCA ECC frameworks. Organizations without hardware acceleration enabled are at highest risk.
🏢 Affected Saudi Sectors
Banking and Financial Services
Government and Public Administration
Telecommunications
Energy and Oil & Gas
Healthcare
Critical Infrastructure
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
8.2
/ 10.0
🔧 Remediation Steps (English)
Immediate Actions:
1. Inventory all BIG-IP deployments and identify systems with SSL profiles configured without Intel QAT or with crypto.hwacceleration disabled
2. Enable hardware acceleration (Intel QAT) where available on BIG-IP hardware platforms
3. For BIG-IP VE instances, migrate to platforms with QAT support or implement compensating controls
4. Implement network segmentation to restrict traffic sources reaching affected BIG-IP instances
Compensating Controls (until patch available):
5. Deploy WAF/DDoS mitigation rules to filter undisclosed malicious traffic patterns
6. Implement rate limiting and connection throttling on SSL profiles
7. Configure TMM restart automation and monitoring to minimize downtime
8. Enable detailed logging of SSL profile traffic for forensic analysis
Detection Rules:
9. Monitor for TMM process crashes and restarts in /var/log/ltm
10. Alert on unexpected SSL connection terminations or traffic anomalies
11. Track crypto.hwacceleration configuration changes via audit logs
12. Monitor system resource utilization spikes preceding TMM crashes
Patching:
13. Subscribe to F5 security advisories for patch availability
14. Establish patch testing procedures for BIG-IP systems in non-production environments first
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. حصر جميع نشرات BIG-IP وتحديد الأنظمة التي تحتوي على ملفات تعريف SSL مكونة بدون Intel QAT أو مع تعطيل crypto.hwacceleration
2. تفعيل تسريع الأجهزة (Intel QAT) حيث يكون متاحاً على منصات BIG-IP الأجهزة
3. لحالات BIG-IP VE، الترقية إلى منصات بها دعم QAT أو تطبيق ضوابط تعويضية
4. تطبيق تقسيم الشبكة لتقييد مصادر حركة المرور التي تصل إلى نوى BIG-IP المتأثرة
الضوابط التعويضية (حتى توفر التصحيح):
5. نشر قواعد WAF/DDoS للتصفية من أنماط حركة المرور الضارة غير المحددة
6. تطبيق تحديد معدل الحد والاختناق على ملفات تعريف SSL
7. تكوين إعادة تشغيل TMM الآلية والمراقبة لتقليل وقت التوقف
8. تفعيل السجلات التفصيلية لحركة مرور ملف تعريف SSL للتحليل الجنائي
قواعد الكشف:
9. مراقبة أعطال عملية TMM وإعادة التشغيل في /var/log/ltm
10. التنبيه على إنهاء اتصالات SSL غير المتوقعة أو شذوذ حركة المرور
11. تتبع تغييرات تكوين crypto.hwacceleration عبر سجلات التدقيق
12. مراقبة ارتفاعات استخدام موارد النظام التي تسبق أعطال TMM
التصحيح:
13. الاشتراك في تنبيهات أمان F5 لتوفر التصحيحات
14. إنشاء إجراءات اختبار التصحيح لأنظمة BIG-IP في بيئات غير الإنتاج أولاً
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
ECC 2024 A.12.6.1 - Management of technical vulnerabilities
ECC 2024 A.12.2.1 - Monitoring and testing of information systems
ECC 2024 A.5.1.1 - Policies for information security
🔵 SAMA CSF
SAMA CSF ID.BE-1 - Business Environment
SAMA CSF PR.DS-6 - Data is protected from unauthorized access
SAMA CSF DE.CM-1 - The network is monitored to detect potential cybersecurity events
🟡 ISO 27001:2022
ISO 27001:2022 A.12.2.1 - Change management
ISO 27001:2022 A.12.6.1 - Management of technical vulnerabilities
ISO 27001:2022 A.8.1.3 - Segregation of duties
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Security patches must be installed within one month
PCI DSS 11.2 - Vulnerability scanning and remediation
🔗 References & Sources 1