رصد باحثون في شركة الأمن السيبراني الاسكتلندية Lupovis بدء جهات التهديد في استغلال ثغرة أمنية جديدة من نوع CitrixBleed تستهدف أجهزة NetScaler ADC وNetScaler Gateway، وذلك خلال أقل من 24 ساعة من الإعلان عنها.
تصنف الثغرة (CVE-2026-8451 بتقييم CVSS عند 8.8) ضمن فئة القراءة خارج حدود الذاكرة تنشأ عندما تكون الأجهزة مهيئة للعمل كموفر هوية لبروتوكول SAML (SAML IDP). ويكمن الخلل في محلل XML الخاص بمنصة NetScaler، إذ يعجز عن إيقاف قراءة قيم سمات XML غير المحاطة بعلامات اقتباس عند انتهائها بحرف سطر جديد، ما يدفع المحلل إلى قراءة بيانات خارج النطاق المخصص في الذاكرة، وتضمين محتويات عشوائية منها داخل استجابة ملفات تعريف الارتباط NSC_TASS.
ولا يتطلب الاستغلال الناجح وجود أي صلاحيات مصادقة مسبقة، ما يضع الثغرة ضمن فئة ثغرات ما قبل المصادقة.
أصدرت شركة Citrix تحديثات أمنية لمعالجة هذا الخلل في 30 يونيو 2026، بالتزامن مع نشر watchTowr التفاصيل التقنية الخاصة بالثغرة وإتاحتها أداة لتوليد مؤشرات كشف رقمية. وعقب الإعلان مباشرة، بدأت عمليات مسح استطلاعي مكثفة من عنوان IP مستضاف في فرانكفورت بألمانيا، واستهدفت منصات استشعار متعددة تابعة لشركة Lupovis ضمن نافذة زمنية ضيقة لم تتجاوز خمس ساعات.
وعند استجابة الجهاز المستهدف برمز الحالة 200 OK، أُرسلت حمولة ضارة تضمنت وسماً مجرداً من نوع samlp:AuthnRequest متبوعاً بحشو مكوّن من 476 مسافة ثم سطر جديد، في تطابق مباشر مع نمط القراءة الزائدة المستخدم في أداة watchTowr.
ولاحقاً، رصد فريق Lupovis جهة تهديد ثانية تنفذ نمط المسح ذاته من عنوان IP تابع لخدمة Koapu Cloud في هونغ كونغ. وقال كزافييه بيليكنز، الرئيس التنفيذي للشركة: “أظهرت الجهتان السلوك نفسه عبر إجراء مسح لتحديد نقطة النهاية الصحيحة، وبمجرد استقبال استجابة 200 OK يتم إسقاط الحمولة على الفور”. ويشير ذلك إلى سرعة إعادة استخدام أسلوب الاستغلال بين مجموعات التهديد بعد توفر كود إثبات المفهوم.
ولا تُعد هذه الثغرة الوحيدة ضمن الدفعة الأمنية الأخيرة، إذ عالجت Citrix أيضاً خمس ثغرات أخرى في أجهزة NetScaler ADC وNetScaler Gateway، أبرزها ثغرة HTTP/2 Bomb المعرّفة بالرمز CVE-2026-13474، والتي تسمح بتنفيذ هجمات حجب الخدمة عبر طلبات HTTP/2 خبيثة. كما شملت المعالجة ثغرتين عاليتي الخطورة، هما CVE-2026-8452 وCVE-2026-8655، وترتبطان بتجاوز حدود الذاكرة وما قد ينتج عنه من سلوك غير متوقع أو حجب للخدمة، إضافة إلى ثغرة القراءة العشوائية للملفات CVE-2026-10816، وثغرة متوسطة الخطورة هي CVE-2026-10817، المرتبطة بمعالجة طوابع TCP الزمنية.
وأصدرت وكالة الأمن السيبراني السنغافورية تحذيراً في 2 يوليو 2026، شددت فيه على ضرورة التحديث الفوري للإصدارات المتأثرة. ووجهت الوكالة مستخدمي الإصدارات التي لا تعتمد ملفات تعريف HTTP الصارمة (HTTP Strict Profiles) إلى ضبط الإعداد Http2SmallWndTimeout على 30 ثانية للحد من هجمات HTTP/2.
كما أوصت Citrix والوكالة بتعطيل ميزة SAML IDP مؤقتاً في حال تعذر تطبيق التحديثات فوراً، مع فحص سجلات المسار /saml/login والتحقق من محتويات ملفات تعريف الارتباط NSC_TASS لرصد محاولات الاستغلال.
وتأتي هذه الهجمات في سياق الاستهداف المتكرر لأجهزة Citrix، إذ سبق أن شهدت الساحة الأمنية ثغرة CitrixBleed بالمعرف CVE-2023-4966، التي استغلها مهاجمون على نطاق واسع لسرقة الجلسات واختراق المؤسسات.









