Citrix社製ネットワークアプライアンス「NetScaler ADC」および「NetScaler Gateway」のSAML認証処理において、新たなメモリ情報漏洩の脆弱性(CVE-2026-8451)が報告されました。この脆弱性は、公開からわずか24時間以内に悪用が確認されており、攻撃者はこの脆弱性を悪用して、システムのメモリから機密情報をリモートで不正に読み取ることが可能です。複数の脅威インテリジェンス企業が、ハニーポットへの攻撃ペイロードを確認しています。最終的に、他の脆弱性と組み合わせることでリモートコード実行(RCE)に至る可能性も指摘されており、SAML IDPとして利用している組織は直ちに対応が必要です。
脆弱性の概要と影響範囲
CVE-2026-8451は、NetScalerがSAML認証リクエストを解析する際に使用する独自実装のXMLパーサーにおける不備に起因します。SAML認証のエンドポイント(/saml/login)に送信されるBase64エンコードされたXML文書(AuthnRequest)の属性値の終端判定が不適切であったため、改行文字が続く場合にバッファの境界を超えてメモリの読み取りを継続してしまいます。これにより、未認証の攻撃者がリモートからアプライアンスのメモリ内容を読み取れる可能性があります。
CVSSスコアは8.8(High)と評価されていますが、過去のCitrix Bleed系脆弱性がランサムウェア攻撃に悪用されてきた経緯や、リモートコード実行に発展するリスクを考慮すると、その深刻度は非常に高いと言えます。影響を受けるのは、NetScaler ADCおよびNetScaler Gatewayで、特にSAML Identity Provider (IDP) として設定されている場合に影響を受けます。
具体的な影響・攻撃シナリオ
攻撃者は、悪意を持って細工されたSAML認証リクエストを繰り返し送信することで、一度に数バイト程度のメモリ情報を断片的に収集し、最終的に重要なシステム情報を再構築することが可能です。これにはプロセスのポインタ情報などが含まれ得るため、他の脆弱性(例えば情報漏洩によって得られたデータと組み合わせるゼロデイ脆弱性)と連鎖させることで、リモートからの任意のコード実行(RCE)に悪用される恐れがあります。
脅威インテリジェンス企業Lupovisは、Citrixの公式アドバイザリ公開および脆弱性検知ツールの公開からわずか24時間以内に、ドイツ・フランクフルトを拠点とするIPアドレスから複数のハニーポットに対して実際の攻撃ペイロードが送り込まれたことを確認しています。これは、パッチ適用が遅れる組織にとって深刻な脅威であることを示しています。
エンジニアが今すぐ取るべき対策
サイトのセキュリティを確保するため、以下の対策を直ちに実施してください。
1. **最優先でパッチ適用**: Citrixが2026年6月30日に公開したセキュリティアップデートを、可能な限り迅速に適用してください。全てのNetScaler ADCおよびNetScaler Gatewayユーザーは、利用中のバージョンに対応する最新のファームウェアへの更新が不可欠です。
2. **SAML IDP機能の一時的な無効化**: パッチ適用が困難な場合、緊急措置としてSAML IDP機能の一時的な無効化を検討してください。ただし、これは業務への影響が大きい可能性があるため、リスクとトレードオフを慎重に評価する必要があります。
3. **ネットワークレベルでのアクセス制限**: SAML認証のエンドポイントへのアクセスを信頼できるIPアドレスのみに制限することで、攻撃対象領域を大幅に縮小できます。以下は、Nginxを使用したアクセス制限の例です。Web Application Firewall (WAF) の導入も有効な手段です。
location /saml/login {
# 信頼できるIPアドレスからのアクセスのみを許可
allow 192.0.2.0/24; # 許可する管理ネットワークのIPアドレス帯
allow 203.0.113.1; # 許可する特定のIPアドレス
deny all; # それ以外の全てのアクセスを拒否
# SAML処理をCitrix NetScalerにプロキシする場合の例
# proxy_pass http://backend_netscaler_saml_server;
# proxy_set_header Host $host;
# proxy_set_header X-Real-IP $remote_addr;
# proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}