Wat het lek werkelijk prijsgeeft

CVE-2026-8451 zit in NetScaler ADC en NetScaler Gateway zodra het apparaat is ingesteld als SAML-identiteitsprovider, oftewel de doos die uw personeel aanmeldt voordat het iets binnen bereikt. De XML-parser op het endpoint /saml/login stopt niet met het lezen van een attribuutwaarde bij een regeleinde, loopt voorbij het einde van de buffer en kopieert het aangrenzende geheugen in de teruggegeven cookie NSC_TASS.

Dat aangrenzende geheugen is geen ruis. Een identiteitsgateway verwerkt een constante stroom aanmeldingen, dus zit er in het geheugen sessietokens, cookies en inloggegevens van wie op dat moment werkt. Lek er genoeg van en een aanvaller speelt een levende sessie opnieuw af, verschijnt als een al aangemelde medewerker en omzeilt de tweefactorvraag volledig, omdat het token na de tweede factor is uitgegeven.

De patch was niet de finish

Citrix bracht de fix op 30 juni 2026 uit in advies CTX696604. Binnen ongeveer een dag vingen sensoren actief misbruik op, en op de vierde dag had CrowdSec 71 unieke kwaadaardige adressen en 424 misbruiksignalen geteld, met een dagpiek van 127. Het venster tussen een openbare patch en massaal misbruik meet zich nu in uren, niet in weken, omdat de patch zelf aanvallers precies vertelt waar ze moeten kijken.

Het is dezelfde klasse fout die de oorspronkelijke CitrixBleed tot een van de schadelijkste lekken van 2023 maakte, en die keert om een reden terug naar hetzelfde product. De gateway die een hele organisatie aanmeldt is de waardevolste doos in het netwerk, een enkel lekkend apparaat kan elke andere maatregel erachter tenietdoen. Daarom verdient het een patchtoezegging op dezelfde dag die veel bedrijven voor niets anders bewaren.

Wat te doen voor het weekend

Werk NetScaler ADC en Gateway bij naar 14.1-72.61 of 13.1-63.18 of nieuwer en controleer dan of uw apparaat echt is ingesteld als SAML-identiteitsprovider, want dat is het blootgestelde pad. Het lek staat op de CISA-lijst van misbruikte kwetsbaarheden en het Nederlandse NCSC heeft gewaarschuwd, wat voor veel operators de trigger is die het van achterstand naar dezelfde dag tilt.

Zet daarna de sessies eruit. Een patch stopt nieuw geheugenlek, maar een token dat een uur voor het patchen is gestolen logt nog in, dus beeindig actieve sessies en dwing na de update herauthenticatie af. Onder NIS2 ligt de meldplicht voor de resulterende inbreuk bij u als operator, ook al zit het lek in het apparaat van een leverancier, dus telt de vastlegging van wanneer u patchte en roteerde net zo zwaar als de fix.