セキュリティ企業Lupovisのデコイインフラのテレメトリによると、脅威アクターはCitrix NetScalerの深刻な脆弱性を、公開開示からわずか24時間以内に悪用し始めていたことが分かりました。
この攻撃活動は、SAML IDプロバイダーとして設定されたNetScalerアプライアンスを標的としており、CISAの既知の悪用済み脆弱性(KEV)カタログにこの脆弱性が追加されるより前に発生していました。
CVE-2026-8451は、CitrixBleed系統のメモリ開示バグの最新事例です。この繰り返し発生する脆弱性パターンは、CVE-2023-4966で初めて表面化し、その後CVE-2025-5777、CVE-2025-12101、CVE-2026-3055でも繰り返されています。
この脆弱性は、NetScalerが独自に実装しているSAML AuthnRequest文書用のXMLパーサーに存在しています。Citrixはこれを「メモリオーバーリードにつながる入力検証の不備」と端的に説明しており、CVSSスコアは8.8となっています。
この脆弱性は認証不要で悪用でき、資格情報も必要としません。ただし、NetScalerをSAML IdPとして構成している場合に限り悪用可能です。これはエンタープライズのSSOアーキテクチャでよく見られるものの、デフォルトではない設定です。
影響を受けるバージョンは、NetScaler ADCおよびGatewayの14.1-72.61より前の14.1系、13.1-63.18より前の13.1系、および対応するFIPSビルドです。
Citrixは2026年6月30日、勧告CTX696604を通じてこの脆弱性を公表しました。これはNetScalerの6件の脆弱性をまとめた広範なブルテインの一部でした。同日、watchTowr Labsは検知アーティファクト生成ツールを公開しています。同社はもともと2026年3月の時点で、この根本原因となるゼロデイを報告していました。
IPアドレス146.70.139.154を使用する単一のアクターが、フランクフルトに設置されたAS9009(M247 Europe SRL)のインフラをホストとして、5時間の間にLupovisのセンサー展開3か所を次々にスキャンしていました。
このホストは2016年12月にリリースされたOpenSSH 7.4を稼働させており、継続的に保守されているシステムというより、使い捨てまたは目的特化型のスキャン用インフラであることがうかがえます。この攻撃活動は「検証してから悪用する」という明確なパターンをたどっていました。
最初の2つのセンサーに対する初期プローブはHTTP 404応答を返し、エクスプロイトのペイロードは送信されませんでした。一方、3つ目のセンサーはHTTP 200応答を返し、即座に/saml/loginへのPOSTリクエストを通じてCVE-2026-8451のエクスプロイトペイロード一式を受け取りました。
このペイロードをデコードすると、476個のスペースで埋められ、終了タグを持たない裸の<samlp:AuthnRequest>タグで構成されており、watchTowrの検知ツールで公開されたオーバーリードの亜種と完全に一致していました。
この事例は、パッチ適用の優先順位付け戦略における危険なギャップを浮き彫りにしています。実際の悪用は、CISAがこのCVEをKEVカタログに追加するより前に発生していたため、緊急度の判断材料をKEVの掲載状況のみに頼っていた組織は、この重要な初期段階において死角を抱えていたことになります。
また、この事例はセンサー群全体を横断した相関分析の価値も示しています。孤立したハニーポット1台だけでは単一のデータポイントしか記録できず、単一のアクターによる3センサー全体へのスキャンという全体像を明らかにすることはできなかったでしょう。
さらにこの攻撃活動は、攻撃者側のツールがエクスプロイトコードを実行する前に標的を積極的に検証していることも示しています。一般的なエラー応答を返したセンサーはプローブされたもののペイロードを受け取ることはなく、正規の応答を模倣したセンサーだけが、完全なエクスプロイトチェーンを即座に受け取っていました。
組織は速やかに、NetScaler ADC/Gatewayのバージョン14.1-72.61または13.1-63.18へパッチを適用すべきです。直ちにパッチ適用ができない場合は、SAML IdP設定を無効化することで、攻撃の前提条件そのものを取り除くことができます。
注記: IPアドレスおよびドメイン名は、誤って解決されたりハイパーリンク化されたりすることを防ぐため、意図的に無害化表記(例: [.])としています。再度有効な表記に戻す作業は、MISP、VirusTotal、あるいは自組織のSIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/citrix-netscaler-saml-memory-overread-flaw/