Citrix beschreibt CVE-2026-8451 als Out-of-Bounds-Read in NetScaler ADC und NetScaler Gateway. Die Schwachstelle betrifft Systeme, die als SAML IDP eingerichtet sind, und führt zur Offenlegung von Speicherinhalten. Nach Angaben im Quelltext steckt der Fehler im XML-Parser von NetScaler: Nicht in Anführungszeichen gesetzte XML-Attributwerte wurden nicht korrekt beendet, wenn ihnen ein Zeilenumbruch folgte. Dadurch las der Parser über den vorgesehenen Puffer hinaus, und NetScaler lieferte Speicherinhalte im Cookie NSC_TASS in einer HTTP-Antwort zurück.
Für eine erfolgreiche Ausnutzung muss das Zielsystem zwar als SAML IDP konfiguriert sein, eine Authentifizierung ist jedoch nicht nötig. Genau diese Kombination machte die Schwachstelle laut Lupovis unmittelbar nach der Veröffentlichung interessant für Angreifer. Nachdem watchTowr technische Einzelheiten zu der Lücke sowie einen Generator für Erkennungsartefakte veröffentlicht hatte, begann mindestens ein Bedrohungsakteur damit, exponierte NetScaler-Instanzen zu sondieren, sagte Lupovis gegenüber SecurityWeek.
Die erste beobachtete Scan-Aktivität ging laut Lupovis von einer IP-Adresse auf Infrastruktur in Frankfurt aus. Das Unternehmen hält es für wahrscheinlich, dass es sich um einen Wegwerf- oder eigens dafür eingerichteten Scan-Knoten handelte. Mehrere Sensoren von Lupovis wurden innerhalb eines Zeitfensters von fünf Stunden angesprochen. Auf dem Sensor, der mit einem Statuscode 200 antwortete, wurde umgehend ein Payload abgelegt.
Dieses Payload enthielt laut Lupovis ein bloßes „samlp:AuthnRequest-Tag, aufgefüllt mit 476 Leerzeichen und gefolgt von einem Zeilenumbruch“. Das entspreche der Overread-Variante aus dem von watchTowr veröffentlichten Generator für Erkennungsartefakte. Am Donnerstag beobachtete das Cybersicherheitsunternehmen dann einen zweiten Bedrohungsakteur, der von einer IP-Adresse von Koapu Cloud HK aus nach exponierten NetScaler-Instanzen suchte.
Laut Lupovis-CEO Xavier Bellekens zeigten beide Akteure dasselbe Verhalten: Sie suchten nach dem richtigen Endpunkt und lieferten das Payload sofort nach, sobald sie eine passende „200 OK“-Antwort erhalten hatten. Die beobachtete Aktivität deutet damit auf ein sehr schnelles Umsetzen öffentlich verfügbarer technischer Informationen in konkrete Sondierungs- und Ausnutzungsversuche hin.
Organisationen sollten ihre NetScaler-Appliances laut Quelltext sofort aktualisieren. Falls das nicht möglich ist, rät die Quelle dazu, SAML IDP zu deaktivieren. Zudem sollten Protokolle auf Zugriffe auf „/saml/login“ geprüft, die Anfragewerte inspiziert und die Werte des Cookies NSC_TASS kontrolliert werden, um eine Ausnutzung zu erkennen.
