Một ngày sau công bố, lỗ hổng CitrixBleed đã trở thành mục tiêu tấn công

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
141
2.013 bài viết
Một ngày sau công bố, lỗ hổng CitrixBleed đã trở thành mục tiêu tấn công
Chưa đầy 24 giờ sau khi Citrix công bố cảnh báo về lỗ hổng CVE-2026-8451 trên các thiết bị NetScaler, giới nghiên cứu đã ghi nhận hoạt động khai thác thực tế trên Internet. Diễn biến này tiếp tục cho thấy sức hút đặc biệt của dòng lỗ hổng CitrixBleed đối với các nhóm tấn công, khi khoảng thời gian từ lúc công bố thông tin đến lúc bị lợi dụng ngoài thực tế đang ngày càng bị rút ngắn.
citrix.png

Theo ghi nhận của Lupovis, đơn vị vận hành mạng lưới honeypot phục vụ nghiên cứu các mối đe dọa trên Internet, hoạt động dò quét nhắm vào NetScaler đã xuất hiện gần như ngay sau khi Citrix công bố cảnh báo CTX696604 và watchTowr Labs công khai các chi tiết kỹ thuật liên quan đến CVE-2026-8451. Trong khoảng thời gian từ ngày 30/6 đến 1/7, địa chỉ IP 146.70.139[.]154 đã liên tiếp thăm dò ba cảm biến NetScaler khác nhau trước khi triển khai payload khai thác hoàn chỉnh khi phát hiện mục tiêu đáp ứng điều kiện.

Dữ liệu thu thập được cho thấy chiến dịch được tự động hóa khá rõ ràng. Đầu tiên, công cụ của kẻ tấn công gửi các yêu cầu thăm dò nhằm xác định thiết bị nào đang cung cấp dịch vụ phù hợp để khai thác. Hai cảm biến đầu tiên chỉ trả về mã lỗi 404 nên không nhận thêm hoạt động nào ngoài các yêu cầu dò quét. Tuy nhiên, khi cảm biến thứ ba phản hồi mã trạng thái 200, hệ thống lập tức chuyển sang bước tiếp theo và gửi payload khai thác CVE-2026-8451. Diễn biến này cho thấy công cụ được thiết kế để tự động xác minh mục tiêu trước khi thực hiện khai thác, giúp giảm nguy cơ lộ hoạt động và tối ưu hóa quá trình tìm kiếm nạn nhân.

CVE-2026-8451 được đánh giá là thành viên mới nhất của họ lỗ hổng CitrixBleed, nhóm lỗi đã nhiều lần gây ra các chiến dịch tấn công diện rộng nhằm vào hạ tầng truy cập từ xa của doanh nghiệp. Trước đó, các lỗ hổng như CVE-2023-4966, CVE-2025-5777, CVE-2025-12101 và CVE-2026-3055 đều từng bị khai thác mạnh sau khi thông tin kỹ thuật được công bố. Điểm chung của nhóm lỗi này là cho phép truy cập trái phép vào dữ liệu nhạy cảm trong bộ nhớ mà không cần xác thực, từ đó mở đường cho việc chiếm đoạt phiên làm việc hoặc leo thang tấn công vào hệ thống nội bộ.

Theo phân tích của các nhà nghiên cứu, CVE-2026-8451 xuất phát từ lỗi trong trình phân tích XML mà NetScaler sử dụng để xử lý các yêu cầu xác thực SAML AuthnRequest. Trong một số trường hợp đặc biệt, khi gặp thuộc tính không được đặt trong dấu ngoặc kép và theo sau là ký tự xuống dòng, trình phân tích có thể xác định sai ranh giới dữ liệu. Sai sót này khiến thiết bị đọc vượt ra ngoài vùng nhớ được cấp phát (out-of-bounds read), làm lộ những dữ liệu nằm liền kề trong bộ nhớ.

Điều khiến lỗ hổng trở nên nguy hiểm là phần dữ liệu bị đọc tràn có thể chứa các thông tin nhạy cảm đang được xử lý trên thiết bị. Theo các nhà nghiên cứu, nội dung rò rỉ có thể xuất hiện trong cookie NSC_TASS do NetScaler tạo ra và gửi lại cho người dùng. Đây cũng là đặc điểm từng khiến các lỗ hổng CitrixBleed trước đây trở thành mục tiêu khai thác rộng rãi. Trong nhiều vụ tấn công, tin tặc đã tận dụng dữ liệu rò rỉ để thu thập token phiên làm việc, từ đó chiếm quyền các phiên đăng nhập hợp pháp và truy cập vào hệ thống mà không cần biết mật khẩu của nạn nhân.

Phân tích lưu lượng thu được từ hệ thống honeypot cho thấy payload khai thác được gửi tới điểm cuối POST /saml/login và chứa một thẻ <samlp:AuthnRequest> bất thường với hàng trăm ký tự khoảng trắng được chèn liên tiếp. Mẫu payload này gần như trùng khớp với cơ chế mà watchTowr Labs đã mô tả khi công bố công cụ phát hiện CVE-2026-8451. Bằng cách tạo ra một yêu cầu SAML được định dạng đặc biệt, kẻ tấn công có thể khiến trình phân tích XML đọc vượt quá giới hạn dữ liệu dự kiến, từ đó làm rò rỉ nội dung đang tồn tại trong bộ nhớ của thiết bị.

Đáng chú ý, hoạt động khai thác đã được ghi nhận ngoài thực tế trước khi CVE-2026-8451 xuất hiện trong danh mục Known Exploited Vulnerabilities (KEV) của CISA. Đây là kịch bản từng lặp lại nhiều lần với các lỗ hổng CitrixBleed trước đó, khi tin tặc bắt đầu khai thác chỉ vài giờ hoặc vài ngày sau khi thông tin kỹ thuật được công khai, trong khi các cơ chế cảnh báo và ưu tiên vá lỗi chính thức thường xuất hiện muộn hơn. Thực tế này cho thấy các tổ chức không nên xem KEV là tín hiệu duy nhất để quyết định mức độ khẩn cấp của việc vá lỗi, đặc biệt đối với những lỗ hổng đang thu hút sự chú ý lớn từ cộng đồng nghiên cứu và giới tấn công.

Citrix cho biết CVE-2026-8451 ảnh hưởng đến NetScaler ADC và NetScaler Gateway phiên bản 14.1 trước 14.1-72.61 và 13.1 trước 13.1-63.18 khi thiết bị được cấu hình làm SAML Identity Provider. Hoạt động khai thác xuất hiện chưa đầy một ngày sau khi lỗ hổng được công bố cho thấy các hệ thống chưa cập nhật bản vá đang đối mặt với rủi ro thực tế. Các chuyên gia khuyến nghị doanh nghiệp nhanh chóng triển khai bản vá, đồng thời rà soát nhật ký truy cập tới các điểm cuối SAML, theo dõi các yêu cầu bất thường gửi tới /saml/login và kiểm tra những dấu hiệu liên quan đến cookie NSC_TASS nhằm phát hiện sớm nguy cơ xâm nhập.​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
citrix netscaler citrixbleed cve-2026-8451 khai thác lỗ hổng lỗ hổng citrixbleed lỗ hổng netscaler netscaler adc netscaler gateway
Bên trên