Một lỗ hổng mới được phát hiện trong các thiết bị Citrix NetScaler, được gọi là CitrixBleed, đã bị khai thác tích cực chỉ chưa đầy một ngày sau khi được công bố công khai. Lỗ hổng này có thể dẫn đến việc chiếm quyền điều khiển hệ thống thông qua việc rò rỉ thông tin nhạy cảm.
CitrixBleed: Lỗ hổng Rò rỉ Bộ nhớ Nghiêm trọng
Lỗ hổng mới này, được định danh là CVE-2026-8451, thuộc họ CitrixBleed, một nhóm các lỗi làm lộ thông tin bộ nhớ trong các thiết bị NetScaler. Đây là một vấn đề lặp đi lặp lại, lần đầu tiên được xác định với CVE-2023-4966 và sau đó tái xuất hiện qua nhiều mã CVE khác nhau bao gồm CVE-2025-5777, CVE-2025-12101, và CVE-2026-3055. Các lỗ hổng này đều là những lỗi không yêu cầu xác thực, có khả năng làm lộ token phiên, và thu hút các chiến dịch khai thác quy mô lớn ngay khi được công bố.
Chi tiết Kỹ thuật của CVE-2026-8451
Lỗi này nằm ở trình phân tích cú pháp XML tùy chỉnh của NetScaler, được sử dụng cho các tài liệu SAML AuthnRequest. Cụ thể, trình phân tích này không kết thúc các giá trị thuộc tính không được đặt trong dấu ngoặc kép khi theo sau là ký tự xuống dòng. Điều này dẫn đến một lỗi đọc ngoài giới hạn bộ nhớ (out-of-bounds read), làm rò rỉ nội dung vào cookie NSC_TASS.
Để khai thác thành công, kẻ tấn công cần NetScaler được cấu hình làm SAML Identity Provider (IdP). Các phiên bản bị ảnh hưởng bao gồm NetScaler ADC/Gateway 14.1 trước bản 14.1-72.61 và 13.1 trước bản 13.1-63.18.
Chiến dịch Khai thác Tích cực và Phát hiện Sớm
Trong vòng 24 giờ sau khi Citrix công bố khuyến cáo bảo mật CTX696604 và WatchTowr Labs phát hành công cụ hỗ trợ phát hiện, cơ sở hạ tầng giả mạo của Lupovis đã phát hiện một chiến dịch quét và khai thác phối hợp nhắm vào các thiết bị NetScaler được cấu hình làm SAML Identity Providers. Một đối tượng tấn công, hoạt động từ địa chỉ IP 146.70.139[.]154, đã nhắm mục tiêu vào ba điểm cảm biến độc lập của Lupovis trong khoảng thời gian từ 30 tháng 6 đến 1 tháng 7 năm 2026. Cuối cùng, một payload khai thác CVE-2026-8451 đã được xác nhận phân phối thành công.
Hoạt động này cho thấy một sự tương đồng với các sự cố CitrixBleed trước đây, nơi việc khai thác trong thực tế diễn ra trước khi lỗ hổng được liệt kê chính thức trong danh mục các lỗ hổng bị khai thác đã biết (Known Exploited Vulnerabilities – KEV) của CISA. Điều này nhấn mạnh tầm quan trọng của việc chủ động theo dõi và vá lỗi, thay vì chỉ dựa vào các cảnh báo chính thức.
Phân tích Quy trình Tấn công
Hoạt động quét được truy vết đến địa chỉ IP 146.70.139[.]154, được lưu trữ trên hạ tầng của M247 Europe SRL (AS9009) tại Frankfurt, Đức. Đây là một nhà cung cấp dịch vụ lưu trữ và VPN thường liên kết với các hoạt động quét cơ hội.
Kẻ tấn công đã thăm dò cảm biến A hai lần (cả hai đều trả về lỗi 404), sau đó là cảm biến B (404). Khi cảm biến C trả về phản hồi 200 OK, payload khai thác CVE-2026-8451 đầy đủ đã được gửi đi ngay lập tức. Hành vi này của công cụ tấn công phản ánh những gì các nhà nghiên cứu đã quan sát được trong chiến dịch CitrixBleed 2 vào năm 2025, khi hoạt động quét và khai thác leo thang nhanh chóng sau khi chi tiết bằng chứng khái niệm (Proof-of-Concept) trở nên công khai.
Payload thu được, được gửi đến yêu cầu POST `/saml/login`, sau khi giải mã cho thấy một thẻ <samlp:AuthnRequest> được đệm bởi 476 khoảng trắng và không có thuộc tính đóng hoặc thẻ kết thúc. Đây chính xác là mẫu đọc quá bộ nhớ đã được mô tả trong công cụ của WatchTowr, được thiết kế để buộc trình phân tích XML đọc vượt quá bộ đệm của nó vào bộ nhớ liền kề.
Dữ liệu thu thập được từ các cảm biến cho thấy các cảm biến trả về 404 chỉ ghi nhận các truy vấn thăm dò, trong khi cảm biến trả về 200 đã ghi lại toàn bộ chuỗi khai thác. Điều này cho thấy công cụ của kẻ tấn công xác thực mục tiêu trước khi triển khai payload.
Tác động và Khuyến nghị Bảo mật
Việc khai thác CVE-2026-8451 diễn ra trước khi nó được liệt kê trong danh mục KEV, khiến các tổ chức chỉ dựa vào KEV để ưu tiên vá lỗi bị phơi nhiễm. Điều này lặp lại kịch bản của chiến dịch CitrixBleed 2, nơi việc khai thác bắt đầu vào khoảng ngày 20 tháng 6 năm 2025, nhưng danh sách KEV chỉ được cập nhật vào ngày 10 tháng 7.
Các tổ chức sử dụng Citrix NetScaler ADC hoặc Gateway, đặc biệt là khi được cấu hình làm SAML IdP, cần ưu tiên áp dụng các bản vá bảo mật mới nhất ngay lập tức. Việc cập nhật bản vá cho các hệ thống quan trọng là biện pháp phòng ngừa rủi ro bảo mật hiệu quả nhất.
Chiến dịch tấn công ban đầu này nhắm vào ba cảm biến trong một lần quét, một mô hình chỉ có thể được phát hiện thông qua việc thu thập dữ liệu tập trung từ nhiều cảm biến, thay vì các bẫy độc lập (honeypots).
Để bảo vệ hệ thống, các chuyên gia an ninh mạng khuyến cáo thực hiện các bước sau:
- Cập nhật bản vá: Áp dụng ngay lập tức các bản vá bảo mật mới nhất cho Citrix NetScaler ADC và Gateway.
- Giám sát lưu lượng mạng: Theo dõi chặt chẽ lưu lượng mạng để phát hiện các hoạt động bất thường, đặc biệt là các yêu cầu SAML đáng ngờ.
- Rà soát cấu hình: Kiểm tra cấu hình SAML Identity Provider trên NetScaler và đảm bảo tuân thủ các nguyên tắc bảo mật.
- Kiểm tra nhật ký: Phân tích nhật ký hệ thống để tìm kiếm các dấu hiệu xâm nhập hoặc hoạt động bất thường liên quan đến khai thác lỗ hổng.
Việc chủ động vá lỗi và tăng cường giám sát là chìa khóa để đối phó với các mối đe dọa mạng ngày càng tinh vi, đặc biệt là các lỗ hổng có khả năng khai thác nhanh chóng như CVE-2026-8451.
Thông tin chi tiết về lỗ hổng có thể tham khảo tại NVD NIST.










