// TOM'S HARDWARE ITALIA — CYBERSECURITY
NetScaler è sotto attacco, torna l'incubo CitrixBleed
Citrix ha corretto una nuova falla in NetScaler, ma la finestra tra patch e sfruttamento si è chiusa quasi subito: dopo la pubblicazione dei dettagli tecnici e di un exploit pubblico, sono partite scansioni mirate contro appliance esposti. La vulnerabilità è tracciata come CVE-2026-8451 e riporta alla memoria CitrixBleed, non tanto per il nome quanto per il tipo di rischio: la lettura indebita di memoria da dispositivi che spesso si trovano sul perimetro delle reti aziendali.
Il problema riguarda NetScaler ADC e NetScaler Gateway quando sono configurati come SAML IDP. In questo scenario, una validazione insufficiente dell'input consente a un attaccante remoto di inviare richieste all'appliance e provocare un memory overread, cioè la lettura di aree di memoria adiacenti a quelle previste. Il punteggio assegnato alla falla è CVSS 8.8, quindi siamo nel territorio delle vulnerabilità ad alta gravità.
La parte più delicata è la rapidità della catena di sfruttamento. WatchTowr aveva individuato la falla mesi prima e l'ha comunicata a Citrix; quando è arrivata la correzione, sono stati pubblicati anche i dettagli tecnici e un proof-of-concept. Poco dopo, Lupovis ha osservato una campagna coordinata di scansione con payload specifico per CVE-2026-8451, non semplice ricognizione generica su Internet.
Il payload descritto punta al parser XML di NetScaler e lo forza con grandi quantità di spazi bianchi, cercando di far leggere al dispositivo dati oltre il limite del buffer. È un dettaglio tecnico che spiega il parallelo con CitrixBleed: l'obiettivo non è mandare in crash il servizio, ma ottenere frammenti di memoria che possono contenere informazioni sensibili, token o elementi utili per ulteriori movimenti nella rete.
Le appliance di frontiera hanno un valore operativo enorme per gli attaccanti. Un accesso iniziale o una fuga di dati da un componente SAML può aprire la strada a escalation dei privilegi, spostamenti laterali e sottrazione di altre informazioni aziendali. Aviatrix ha collegato il rischio proprio a questi scenari: dispositivi esposti, identità federata e memoria leggibile sono una combinazione da trattare con priorità alta.
Le versioni corrette indicate per gli ambienti vulnerabili sono 14.1-72.61 e 13.1-63.18 per NetScaler ADC e Gateway. Dove l'aggiornamento non è immediatamente applicabile, la mitigazione consigliata è disabilitare la configurazione SAML IDP sugli appliance interessati, sapendo però che si tratta di una misura tampone e non di una soluzione equivalente alla patch.
Gli amministratori dovrebbero inoltre rivedere l'attività di login SAML successiva alla pubblicazione dell'avviso, cercando anomalie coerenti con tentativi di sfruttamento, e filtrare gli indicatori già associati alla campagna, incluso l'indirizzo IP 146.70.139[.]154. La priorità è ridurre l'esposizione degli appliance vulnerabili prima che lo sfruttamento passi dalla scansione mirata a campagne più ampie.
Aggiungi Tom's Hardware alle tue fonti preferite su Google