WatchTowr entdeckte CVE-2026-8451 im März und meldete die Erkenntnisse an Citrix. Am selben Tag, an dem Citrix die Schwachstelle veröffentlichte und schloss, legte WatchTowr Labs eine vollständige technische Analyse, Details zum XML-Parser und einen Proof of Concept vor.
Schon weniger als 24 Stunden später begann laut Lupovis eine koordinierte Scan-Kampagne gegen NetScaler-Systeme. Der Sicherheitsanbieter stützt sich dabei auf Aktivität in seiner Lockinfrastruktur. Demnach setzte ein einzelner Angreifer, der einer schädlichen IP-Adresse zugeordnet wurde, eine Ausnutzungsnutzlast für CVE-2026-8451 ein.
In einem Beitrag auf X schrieb Lupovis am 3. Juli, man habe „deutlich mehr Ausnutzung“ gesehen. Laut Blogeintrag des Unternehmens ging die Scan-Aktivität von der Adresse 146.70.139[.]154 aus. Diese sei bei M247 gehostet, einem globalen VPN- und Hosting-Anbieter, der „häufig bei opportunistischen Scan-Kampagnen beobachtet“ werde.
Xavier Bellekens, Mitgründer und CEO von Lupovis, betonte in dem Blogbeitrag, dass es sich nicht um generische Scan-Aktivität handle, sondern um eine spezifische Ausnutzungsnutzlast für CVE-2026-8451. Er verknüpfte die beobachtete Aktivität zudem direkt mit dem von WatchTowr veröffentlichten Proof of Concept. „Das ist die WatchTowr-Überlesevariante, die NetScalers XML-Parser mit Leerraum fluten soll, damit er über die Puffergrenze hinaus in benachbarten Speicher liest“, schrieb Bellekens. „Die Struktur entspricht dem von WatchTowr am 30. Juni 2026 veröffentlichten Generator für Erkennungsartefakte zu CVE-2026-8451.“
Citrix reagierte auf eine Anfrage von Dark Reading zu dem Ausnutzungsbericht bis Redaktionsschluss nicht. Unabhängig davon hatte der Cloud-Sicherheitsanbieter Aviatrix bereits in einem Warnhinweis in der vergangenen Woche erklärt, ein Angreifer könne die Schwachstelle zur Offenlegung von Speicherinhalten nutzen, um sich Erstzugang zu einem NetScaler-SAML-IDP-System zu verschaffen. Mit den offengelegten Speicherinhalten seien laut Aviatrix außerdem Privilegienausweitung, seitliche Bewegungen im Netzwerk des Opfers und das Abziehen weiterer sensibler Daten möglich.
Aviatrix hob ebenfalls die Ähnlichkeit zu CitrixBleed hervor. Ein Sprecher des Unternehmens sagte Dark Reading jedoch, Aviatrix habe keine direkte Ausnutzung von CVE-2026-8451 beobachtet. Das beschriebene Verhalten passe aber zu einem bekannten Muster, bei dem Angreifer verstärkt Edge-Geräte ins Visier nähmen, um Zugang zu erhalten, Angriffe durchzuführen oder Zugänge und abgegriffene Zugangsdaten weiterzuverkaufen.
Lupovis riet Unternehmen, NetScaler ADC und NetScaler Gateway sofort auf die bereinigten Versionen 14.1-72.61 oder 13.1-63.18 zu aktualisieren. Falls ein Patch nicht möglich sei, sollten Kunden die SAML-IDP-Konfiguration auf verwundbaren Systemen deaktivieren. Zusätzlich empfiehlt der Anbieter, die SAML-Anmeldeaktivitäten seit dem 30. Juni auf verdächtige Vorgänge zu prüfen und die mit der Scan-Aktivität verknüpfte IP-Adresse zu blockieren.
