Citrix NetScaler ADC/Gateway に 6件の脆弱性:メモリ範囲外読み取りと DoS 攻撃の恐れ

Citrix NetScaler ADC and Gateway Flaws Let Attackers Trigger Memory Overread and Denial-of-Service

2026/07/01 gbhackers — Citrix が公開したのは、NetScaler ADC/Gateway に存在する複数の深刻な脆弱性に対処するセキュリティ情報である。これらの脆弱性を悪用する攻撃者は、影響を受ける環境においてメモリの範囲外読み取り/任意ファイルへのアクセス/サービス拒否 (DoS) 状態を引き起こす可能性がある。今回の脆弱性は、CVE-2026-8451/CVE-2026-8452/CVE-2026-8655/CVE-2026-10816/CVE-2026-10817/CVE-2026-13474 である。

一連の脆弱性は、広く導入されているエンタープライズ・ネットワークおよびリモート・アクセス・インフラに影響を及ぼすことから、これらのアプライアンスに依存する組織にとって深刻なセキュリティ上の懸念となる。

Citrix NetScaler ADC/Gateway の欠陥

アドバイザリ CTX696604 によると、これらの脆弱性は、FIPS および NDcPP バリアントを含む NetScaler ADC/Gateway のバージョン 14.1-72.61 未満の 14.1 系および、13.1-63.18 未満の 13.1 系に影響を及ぼす。また、NetScaler インスタンスを使用する Secure Private Access Hybrid のデプロイメントも影響を受ける。なお、影響を受けるのは顧客管理のデプロイメントのみであり、Citrix が管理するクラウド・サービスにはすでにパッチが適用されていることを、Citrix は明らかにしている。

最も深刻な問題は、不適切な入力検証およびメモリ処理エラーに起因するものである。脆弱性 CVE-2026-8451 (CVSSv4 8.8/CWE-125) は、アプライアンスが SAML Identity Provider (IdP) としてコンフィグされている場合に、メモリの範囲外読み取りを引き起こす欠陥である。

この脆弱性を悪用する攻撃者は、機密性の高いメモリ内容へアクセスし、認証関連データを漏洩させる可能性がある。また、脆弱性 CVE-2026-10817 は、仮想サーバに関連付けられた TCP プロファイルでタイムスタンプ処理が有効化されている場合に発生する、別のメモリの範囲外読み取りの問題である。

もう 1つの高リスク脆弱性 CVE-2026-8452 (CVSS 8.8/CWE-119) は、メモリ・オーバーフロー状態に起因し、予測不能なシステム動作やサービス・クラッシュを引き起こす可能性がある。NetScaler が Gateway (SSL VPN/ICA Proxy/CVPN/RDP Proxy) または AAA 仮想サーバとしてコンフィグされている場合に悪用可能であることから、リモート・アクセス環境において特に危険である。

また、脆弱性 CVE-2026-8655 は、Oracle のロード・バランシング/DNS プロキシ/再帰 DNS リゾルバのデプロイメントなどのコンフィグに影響を及ぼす、メモリ・オーバーフローの欠陥であり、攻撃対象領域を拡大する。


メモリ破損の脆弱性に加えて、認証なしで任意のファイル読み取りを引き起こす CVE-2026-10816 (CVSS 7.1) も公開されている。この問題は、有効な NSIP/SNIP/Cluster Management IP などの管理インターフェイスへ、攻撃者がアクセスできる場合に悪用され、機密性の高いコンフィグ・ファイルやシステム・データが漏洩する可能性がある。

別の深刻な脆弱性である CVE-2026-13474 (CVSS 8.7) は、特別に細工された HTTP/2 リクエストを送信する攻撃者に対して、サービス拒否 (DoS) 状態を許すものである。この脆弱性は、HTTP プロファイルで HTTP/2 が有効な場合に、不適切なメモリ処理 (CWE-401) を発生する。悪用に成功した攻撃者は、停止したストリームによりシステム・リソースを枯渇させ、サービスの中断/妨害を引き起こす可能性がある。


Citrix がユーザーに対して強く推奨しているのは、NetScaler ADC/Gateway 14.1-72.61/13.1-63.18 として提供される、パッチ適用済みバージョンへと速やかにアップグレードすることだ。また、FIPS および NDcPP のデプロイメント向けにも対応する、更新ビルドも提供されている。特に、脆弱性 CVE-2026-13474 の緩和には、パッチ適用に加えて追加のコンフィグ変更が必要である。

管理者は、新たに導入された Http2SmallWndTimeout パラメータを “30 秒”に設定する必要がある。HTTP Strict Profiles を使用していない環境において、デフォルト値 “0” の設定では、この問題を完全に緩和できないため、変更が不可欠である。

セキュリティ・チームに推奨されるのは、コンフィグの見直しによる、潜在的な露出条件の特定である。その中でも、SAML IdP プロファイルを使用する環境/TCP タイムスタンプを有効化している環境/デフォルトまたはカスタム HTTP プロファイルで HTTP/2 をコンフィグしている環境はリスクが高いため、注意が必要である。ユーザー組織は、攻撃の前提条件となり得る DNS および Oracle のロード・バランシング・コンフィグについても監査する必要がある。

これらの脆弱性は、JPMorgan Chase の XOR チームに所属する Michael Tucker と、watchTowr の Aliz Hammond/Maxim Suhanov などの研究者により、責任ある形で開示された。

NetScaler アプライアンスは、エンタープライズ環境に広く導入されている。特に初期アクセス/データ漏洩/サービス妨害のシナリオにおいて、これらの脆弱性は攻撃者にとって価値の高い標的となる。直ちにパッチを適用し、コンフィグを強化することが、攻撃対象領域の縮小において不可欠である。