Новоразкрита уязвимост от класа CitrixBleed в устройствата Citrix NetScaler започна да се експлоатира активно по-малко от денонощие след публичното ѝ оповестяване. Операторът на примамваща инфраструктура Lupovis потвърди координирана кампания за сканиране и експлоатация в три отделни внедрявания на сензори.

В рамките на 24 часа след като Citrix публикува консултативен документ CTX696604, а watchTowr Labs пусна генератор на детектиращи артефакти за CVE-2026-8451, инфраструктурата на Lupovis засече координирана кампания за сканиране, насочена към NetScaler устройства, конфигурирани като SAML доставчици на идентичност (SAML Identity Providers).

Атакуващ, опериращ от IP адрес 146.70.139[.]154, е атакувал три отделни сензора на Lupovis в петчасов прозорец в периода от 30 юни до 1 юли 2026 г., като в крайна сметка е доставил потвърден експлойт за CVE-2026-8451.

Тази активност все още не е отразена в каталога на CISA за известни експлоатирани уязвимости (KEV), повтаряйки модела от предишни инциденти с CitrixBleed, при които експлоатацията в реални условия изпреварваше официалното вписване в KEV с седмици.

Експлоатиране на уязвимостта CitrixBleed

CVE-2026-8451 е най-новото попълнение в семейството уязвимости CitrixBleed за разкриване на памет – повтарящ се клас от грешки при управлението на паметта в NetScaler устройства, идентифициран за първи път с CVE-2023-4966 и преоткрит в последващи CVE, включително CVE-2025-5777, CVE-2025-12101 и CVE-2026-3055.

Историята показва постоянен модел: тези уязвимости не изискват удостоверяване, излагат сесийни токени и привличат бърза масова експлоатация след разкриването им. Това се случи и с оригиналния CitrixBleed през 2023 г., когато хакери удариха Boeing, ICBC и DP World седмици след разкриването му.

Новият дефект се намира в персонализирания XML парсер на NetScaler за SAML AuthnRequest документи, който не успява да прекрати нецитирани стойности на атрибути, последвани от нов ред. Това води до четене извън границите на буфера, чието съдържание изтича в NSC_TASS бисквитката.

Уязвимостта не изисква удостоверяване, изисква NetScaler да бъде конфигуриран като SAML IdP и засяга NetScaler ADC/Gateway версии 14.1 преди 14.1-72.61 и 13.1 преди 13.1-63.18.

Активността по сканиране е проследена до IP адрес 146.70.139[.]154, хостван на инфраструктура на M247 Europe SRL (AS9009) във Франкфурт, Германия – хостинг/VPN доставчик, често свързван с опортюнистично сканиране.

Атакуващият е проучил Сензор A два пъти (и двата пъти връщащи 404), след това Сензор B (404), преди Сензор C да върне отговор 200, при което пълният SAML експлойт за CVE-2026-8451 е бил доставен незабавно. Това поведение на инструментариума отразява наблюдаваното от изследователите по време на CitrixBleed 2 през 2025 г., когато сканирането и експлоатацията ескалираха бързо след публикуването на детайли за доказателство на концепцията (PoC), което накара CISA да изиска спешно 24-часово пачване във федералните структури.

Прихванатият експлойт, изпратен към POST /saml/login, се декодира до чист таг <samlp:AuthnRequest>, допълнен с 476 интервала и без затварящи атрибути или таг — точният модел на препълване от генератора на watchTowr, предназначен да принуди XML парсера да чете извън своя буфер в съседна памет.

Тъй като експлоатацията на CVE-2026-8451 предхожда вписването му в KEV, организациите, разчитащи единствено на приоритетно пачване въз основа на списъка на CISA, останаха уязвими през този прозорец.