Citrix NetScalerアプライアンスは現在、新たに公開されたメモリ開示脆弱性CVE-2026-8451の急速な悪用により、深刻な脅威にさらされています。この脆弱性は、進化を続ける「CitrixBleed」系統の一部です。
Securityvulnerability database
この深刻度の高い脆弱性(CVSSスコア8.8)は、2026年6月30日にCitrixのアドバイザリCTX696604で公開されましたが、発表からわずか24時間以内に実際の悪用が確認されており、脆弱性の公開から実際の攻撃発生までの猶予期間がますます短くなっている実態を浮き彫りにしています。
CitrixBleed脆弱性の悪用状況
Lupovisのセキュリティ研究者は、SAML Identity Providerとして構成されたNetScalerデバイスを特に標的とした、組織的なスキャンおよび悪用キャンペーンを確認しました。これはデフォルト設定ではありませんが、企業環境では頻繁に利用される構成です。
脆弱性の原因は、NetScalerがSAML AuthnRequestメッセージを処理する独自のXMLパーサーにあります。改行文字が後に続く、クォートで囲まれていないXML属性値の処理に不備があり、メモリオーバーランを引き起こします。
これにより、攻撃者はHTTPレスポンス内のNSC_TASSクッキーを通じて機密性の高いメモリ内容を取得できます。特筆すべき点として、この悪用には認証が不要であるため、インターネットに公開されたシステムは特に危険にさらされます。影響を受けるバージョンには、NetScaler ADCおよびGatewayの14.1(14.1-72.61より前)、13.1(13.1-63.18より前)が含まれます。
Lupovisのテレメトリーデータによると、IPアドレス146.70.139.154(AS9009、M247 Europe SRLに関連)から活動する単一の脅威アクターが、5時間の間に複数のデコイセンサーに対して組織的な調査を行ったことが判明しています。
攻撃者は「python-requests/2.32.5」というユーザーエージェント文字列で識別される自動化ツールを使用し、一貫した手法でプロービングを行いました。
初期のリクエストはHTTP 404レスポンスを返しましたが、高精度のデコイからHTTP 200の有効な応答が返された時点で、攻撃者は直ちにPOST /saml/loginエンドポイントを標的とした完全な悪用ペイロードを送信しました。
このペイロードは非常に特徴的で、脆弱性公開と同日にwatchTowr Labsが公開した概念実証用の検知アーティファクト生成ツール(Detection Artifact Generator)と一致しています。
ペイロードにはbase64エンコードされたSAMLRequestが含まれており、デコードすると数百個の空白文字で埋められた不正な形式のタグに改行が続く構造となっており、意図的にパーサーにオーバーランを引き起こさせるものです。この特有の構造から、今回の悪用が単なる一般的なスキャンの結果ではなく、標的を絞った攻撃であったことが裏付けられます。
今回のキャンペーンは、防御環境における検知精度の重要性がますます高まっていることを示しています。Lupovisの観測によると、正規のアプリケーションの挙動を模倣したセンサーのみが完全な悪用ペイロードの捕捉に成功した一方、低対話型のデコイでは偵察活動のみが記録されました。
これは、攻撃者が悪用に踏み切る前に標的の検証をますます徹底するようになっており、それによってノイズを減らし効率を高めていることを示しています。
重要な点として、CVE-2026-8451は現時点でCISAの既知の悪用された脆弱性(KEV)カタログにまだ追加されておらず、KEVベースの優先順位付けのみに依存する組織は、攻撃の初期段階において無防備な状態に置かれています。侵害の痕跡としては、/saml/loginへの繰り返しのPOSTリクエストが挙げられます。
| 指標 | 種別 | 詳細 |
| 146.70.139.154 | IPv4 | CVE-2026-8451のスキャン、M247 Europe SRLのエグジットノード(AS9009)、ドイツ |
| python-requests/2.32.5 | ユーザーエージェント | 自動化されたスキャンツール |
| POST /saml/login | エンドポイント | CVE-2026-8451の悪用エンドポイント |
| <samlp:AuthnRequest + 400以上の空白文字 | ペイロードパターン | CVE-2026-8451のオーバーリード亜種 |
注: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化(defang、例: [.])されています。再有効化(re-fang)は、MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
これらのbase64エンコードされたSAMLRequestの値は、空白文字で埋められたAuthnRequestタグに変換され、バイナリデータを含む異常なNSC_TASSクッキー値としても現れます。
セキュリティチームは、影響を受けるシステムに直ちにパッチを適用することを強く推奨します。パッチ適用が困難な場合は、SAML IdP機能を無効化してください。
Endpointsecurity software
さらに、組織は2026年6月30日までさかのぼってログを確認し、不審なSAMLトラフィックのパターンを監視するとともに、必要に応じて既知の悪意あるインフラをブロックすべきです。ただし、攻撃者のIPアドレスは急速に変化する可能性がある点に留意してください。
Interact with Cyber Threats in Windows, Linux, macOS VMs to Trigger Full Attack Chain - Analyse Malware & Phishing with ANY RUN
翻訳元: https://gbhackers.com/citrixbleed-vulnerability-exploitation/