Sårbarheter

Fyra angripargrupper utnyttjar aktivt minnessårbarhet i Citrix NetScaler

Citrix NetScaler Memory Flaw Under Active Exploitation by Four Threat Groups

En allvarlig memory overread-sårbarhet i Citrix NetScaler utnyttjas aktivt i flera parallella angreppskampanjer. Citrix har offentliggjort CVE-2026-8451, en CVSS 8,8-sårbarhet i NetScaler Application Delivery Controller och NetScaler Gateway, och minst fyra separata angripargrupper använder den redan. Sårbarheten beror på bristfällig indatavalidering och gör det möjligt för angripare att läsa minnesinnehåll från drabbade enheter, inklusive sessionstoken som kan användas för att kapa autentiserade användarsessioner utan inloggningsuppgifter.

Citrix har inte kommenterat rapporterna om aktiv exploatering vid publiceringstillfället. Den tystnaden är inte betryggande, med tanke på vad motsvarande tystnad kostade organisationer 2023.

Samma sårbarhetsklass som CitrixBleed 2023

CVE-2026-8451 är funktionellt snarlik CVE-2023-4966, den sårbarhet som fick namnet CitrixBleed. Det felet från 2023, också ett minnesdataintrång i NetScaler ADC och Gateway, gjorde det möjligt för oautentiserade angripare att hämta giltiga sessionstoken ur enhetsminnet och kringgå multifaktorautentisering helt. CISA utfärdade explicit vägledning om CVE-2023-4966 i oktober 2023 efter omfattande exploatering. LockBit-operatörer var bland de grupper som utnyttjade sårbarheten i stor skala. Återhämtningen efter de incidenterna tog månader för en del organisationer.

2025 års variant, CVE-2025-5777, utvidgade samma typ av fel. Arctic Wolf dokumenterade aktiv exploatering av CVE-2025-5777 i NetScaler ADC och Gateway och bekräftade att minnesdataintrång i den här produktlinjen inte hade åtgärdats fullständigt mellan 2023 och nu. Splunks säkerhetsforskningsteam publicerade detektions- och mitigeringsvägledning för CVE-2025-5777 och konstaterade att mekanismen som möjliggör extraktion av sessionstoken förblev funktionell trots de mellanliggande patcharna.

CVE-2026-8451 är den tredje generationen av samma strukturella problem. Citrix mönster av att utfärda partiella fixar som lämnar det underliggande minneshanterings­beteendet intakt är en rimlig beskrivning av vad sårbarhethistoriken visar. Organisationer som patchade CitrixBleed 2023 och ansåg den riskklassen stängd får nu reda på att det var fel.

Hur sårbarheten fungerar i praktiken

Sårbarheten finns i indatavalideringsskiktet i NetScaler ADC och Gateway. När en specialkonstruerad förfrågan skickas till en drabbad enhet orsakar otillräcklig gränskontroll att enheten läser bortom den avsedda minnesbufferten. Överskridningen returnerar data från angränsande minne, vilket på en gateway-enhet som hanterar aktiva användarsessioner ofta inkluderar autentiseringstoken.

Dessa token kan spelas upp direkt mot de interna applikationer som gatewayen skyddar, utan ytterligare exploatering. Ingen malware-driftsättning. Inga laterala rörelseverkyg. En angripare med en giltig stulen sessionstoken ser helt enkelt ut som en autentiserad användare för varje nedströms­system.

Akamais säkerhetsforskningsteam dokumenterade samma tokenextraktionsmekanik i sin mitigeringsvägledning för CVE-2025-5777, som tillhör samma angreppsklass som CVE-2026-8451. Deras analys bekräftade att App and API Protector-regler kan detektera avvikande minnessonderingsförfrågningar vid kanten, men att nätverkslagermitigeringar är tillfälliga åtgärder och inte ersätter patching av enheten.

CVE-2026-3055 listas tillsammans med CVE-2026-8451 i Citrix aktuella säkerhetsrådgivning. Citrix har inte publicerat någon fullständig teknisk genomgång av CVE-2026-3055 vid publiceringstillfället, och ingen oberoende säkerhetsforskare har bekräftat dess exakta omfattning. Betrakta alla påståenden om dess allvarlighetsgrad som preliminära tills det ändras.

Fyra grupper, aktiva nu

Dark Reading rapporterade att minst fyra separata angripargrupper för närvarande utnyttjar CVE-2026-8451. Identiteten på dessa grupper har inte bekräftats i någon myndighetsrådgivning vid publiceringstillfället. CISA har ännu inte lagt till CVE-2026-8451 i sin katalog över kända utnyttjade sårbarheter, men CISA lade till CVE-2023-4966 inom några dagar efter att bekräftad exploatering blev allmänt känd 2023, och samma tidslinje är sannolik här.

Cybersecurity Dive bekräftade att exploatering pågår, med hänvisning till flera källor med insyn i NetScaler-driftsättningar. ReliaQuest publicerade bakgrund och rekommendationer om den ursprungliga CitrixBleed-exploateringskampanjen 2023 och var bland de första att dokumentera sessionskap­ningsmekaniken som gjorde den sårbarheten så skadlig.

Att flera angripargrupper utnyttjar samma sårbarhet samtidigt är ett tecken på att proof-of-concept-kod cirkulerar bortom en enskild aktör. Det är den punkt där organisationer med opatchade internetexponerade NetScaler-enheter bör utgå från att exploateringsförsök redan träffar deras infrastruktur, inte bara en risk att planera för.

Patcha, kontrollera sedan om intrång redan skett

Applicera Citrix aktuella säkerhetspatcharna för CVE-2026-8451 omedelbart. Alla NetScaler ADC- eller Gateway-enheter som är exponerade mot internet omfattas. Att patcha en komprometterad enhet avlägsnar inte en angripare som redan har extraherat sessionstoken, så patching och utredning måste ske parallellt, inte sekventiellt.

Avsluta alla aktiva sessioner på drabbade enheter före eller omedelbart efter patching. Det är steget organisationer hoppade över 2023 och fick betala för. En giltig stulen sessionstoken förblir användbar tills sessionen explicit ogiltigförklaras, oavsett om enheten har patchats. CISA:s vägledning från 2023 om CVE-2023-4966 var tydlig på den punkten, och ingenting i CVE-2026-8451 förändrar det kravet.

Granska NetScalers åtkomstloggar efter avvikande minnessonderingsförfrågningar under perioden före patching. Akamais mitigeringsvägledning för CVE-2025-5777 innehåller specifika förfrågnings­mönster kopplade till memory overread-exploatering som gäller för samma angreppsklass. Splunks detektionsvägledning för CVE-2025-5777 innehåller SIEM-frågor som kan anpassas för logganalys av CVE-2026-8451.

Om patching inte kan ske omedelbart: begränsa extern åtkomst till NetScaler-hanteringsgränssnittet och placera enheten bakom en uppströms WAF eller API-skyddslager konfigurerat att blockera förfrågningar som matchar kända minnessonderingsmönster. Det köper tid. Det stänger inte sårbarheten.

Referenser

  1. CitrixBleed-ing Again? NetScaler Vulnerability Under Attack
  2. Citrix NetScaler products confirmed to be under exploitation
  3. Follow-up updates on CVE-2025-5777 Citrix Bleed 2
  4. CitrixBleed 2 Vulnerability Detection and Mitigation
  5. Mitigating CitrixBleed 2 CVE-2025-5777 with App and API Protector
  6. Guidance for Addressing CVE-2023-4966 Citrix Bleed
  7. Citrix Bleed Vulnerability Background and Recommendations
  8. CitrixBleed isn’t going away

This post is also available in: English

Per Häggdahl

Jobbar som CSO/CISO, har arbetat med leverans av säkra system till banker, riksbanker, börser och värdepapperscentraler i över 20 år.