NetScaler ADCおよびNetScaler Gatewayに存在する最新のCitrixBleed類似脆弱性について、脅威アクターが公開からわずか24時間足らずで悪用を開始していたことが、スコットランドのサイバーセキュリティ企業Lupovisの調査で明らかになりました。
CVE-2026-8451(CVSSスコア8.8)として追跡されているこの脆弱性は、6月30日に公表されました。この日、Citrixがパッチを公開し、アタックサーフェス管理企業のwatchTowrが技術的な詳細を発表しています。
この脆弱性は、SAML IDPとして構成されたNetScalerアプライアンスに影響を及ぼす境界外読み取り(out-of-bounds read)の問題で、メモリ情報の漏えいにつながります。
問題はNetScalerのXMLパーサーに存在し、クォートされていないXML属性値の後に改行文字が続く場合、その値を正しく終端しないという不具合でした。この欠陥により、パーサーは意図したバッファを超えて読み取りを行い、NetScalerはHTTPレスポンスのNSC_TASSクッキー内にメモリの内容を返してしまいます。
この脆弱性の悪用には、対象のNetScalerアプライアンスがSAML IDPとして構成されている必要がありますが、悪用の成立自体には認証を必要としません。
watchTowrが詳細情報を公開し、検知用アーティファクトの生成ツールを発表した直後、少なくとも1つの脅威アクターが、外部に露出したNetScalerインスタンスの探索を開始したことを、LupovisはSecurityWeekに明らかにしました。
最初のスキャン活動は、ドイツ・フランクフルトにホストされたインフラ上のIPアドレスから発信されたもので、使い捨てまたは専用に構築されたスキャン用ノードが使われたとみられます。
Lupovisの複数のセンサーが5時間の間に標的とされ、200レスポンスを返したセンサーに対しては、即座にペイロードが投下されました。
このペイロードには、「476個のスペースでパディングされ、その後に改行が続く、素の<samlp:AuthnRequest>タグ」が含まれており、これはwatchTowrの検知用アーティファクト生成ツールにおけるオーバーリード型のパターンと一致するものです。
木曜日には、Koapu Cloud HKのIPアドレスから、外部に露出したNetScalerインスタンスを探索する2つ目の脅威アクターの活動を、同社は確認しています。
「両者とも同じ挙動を示しています。適切なエンドポイントを探索し、正しいレスポンスとともに200 OKを受け取った時点で、即座にペイロードを送り込んでいます」と、Lupovisの最高経営責任者(CEO)であるXavier Bellekens氏は述べています。
各組織は、NetScalerアプライアンスに直ちにパッチを適用するよう推奨されています。パッチ適用が難しい場合は、SAML IDPを無効化することが望まれます。また、/saml/login宛てのトラフィックについてログを確認し、リクエストの値を精査するとともに、NSC_TASSクッキーの値をチェックして悪用の有無を特定することも重要です。