Lühidalt: Uus Citrix NetScaleri haavatavus (CVE-2026-8451) võimaldab autentimata ründajatel lekitada andmeid protsessimälust ning seda juba kuritarvitatakse aktiivsetes rünnetes.
Citrix parandas NetScaleri seadmetes uue mälu ülelugemise haavatavuse CVE-2026-8451. Vähem kui 24 tundi pärast paranduse avaldamist täheldati juba selle ärakasutamise katseid looduslikus keskkonnas.
watchTowri turvateadlaste avastatud haavatavus CVE-2026-8451 kuulub CitrixBleed’i variantide hulka: see võimaldab vigaste autentimata päringute kaudu lekitada kaitstud protsessimälu andmeid. Citrix hindas selle CVSS-skooriga 8,8 väga kriitiliseks. Erinevalt oma eelkäijatest (CVE-2023-4966, CVE-2025-5777, CVE-2026-3055) võimaldab CVE-2026-8451 kätte saada vaid väiksemaid andmemahte – seni pole täheldatud seansi-ID-de lekkimist.
Ärakasutamine eeldab, et NetScaleri seade on konfigureeritud SAML-i identiteediteenuse pakkujana. See on sama tingimus, mis kehtis märtsis parandatud CitrixBleed 3 puhul, mida seejärel kasutati aktiivsetes rünnetes. Turvafirma Lupovise andmetel rünnati CVE-2026-8451 haavatavust 24 tunni jooksul pärast paranduse avaldamist: kolme eraldi sensorit rünnati sihipäraselt viie tunni pikkuse ajaakna jooksul; kolmandal sensoril saadi edukas vastus (HTTP 200), misjärel ründaja edastas kohe ekspluateerimise kasuliku koorma.
Kuigi kontseptsiooni tõestus (proof-of-concept) lekitas vaid üksikuid baite – tunduvalt vähem kui varasemate CitrixBleed’i juhtumite puhul lekkinud kilobaidid –, on lekkinud teave ründajate jaoks väärtuslik. Korduvad päringud võivad lõpuks paljastada tundlikke andmeid. Veelgi kriitilisem on see, et leke võib paljastada protsessimälu viidad (pointer’id), mis aitavad ründajatel paigutada kasulikku koormat teiste haavatavuste, näiteks puhvri ületäitumise kaudu, hoides sel moel kõrvale kaitsemehhanismidest nagu ASLR ja saavutades seadme üle täieliku kontrolli.
Sama paranduste tsükli käigus kõrvaldas Citrix ka teisi turvaauke: kaks kõrge riskitasemega mälu ületäitumise haavatavust (CVE-2026-8452, CVE-2026-8655), autentimata suvalise faili lugemise haavatavuse (CVE-2026-10816), veel ühe piiridest väljuva mälu ülelugemise haavatavuse (CVE-2026-10817) ning teenusetõkestusrünnet võimaldava HTTP/2-haavatavuse (CVE-2026-13474), mis on NetScaleri-põhine versioon HTTP/2 “bomb”-rünnakust (CVE-2026-49975).
NetScaler ADC ja NetScaler Gateway kasutajatel soovitatakse uuendada versioonidele 14.1-72.61, 13.1-63.18 või 13.1-37.272. WatchTowr avaldas lisaks Pythonis kirjutatud tuvastusskripti CVE-2026-8451 jaoks, et kiiresti kontrollida, kas seadmed on haavatavad.
Allikas: www.csoonline.com · Avaldatud 3. juuli 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimine ja klassifitseerimine Lumi News Pipeline v1.7.2 abil.