สรุปสั้น
บริษัท Citrix ออกอัปเดตความปลอดภัยแก้ไขช่องโหว่ 6 รายการใน NetScaler ADC (เดิมชื่อ Citrix ADC) และ NetScaler Gateway (เดิมชื่อ Citrix Gateway) ซึ่งรวมถึงช่องโหว่ที่เปิดให้ผู้โจมตีอ่านไฟล์ในเครื่องได้โดยไม่ต้องยืนยันตัวตน (CVE-2026-10816, CVSS 7.7) และช่องโหว่ที่ทำให้ระบบล่มด้วยการโจมตีแบบ Denial-of-Service ผ่าน HTTP/2 request ที่ผิดรูปแบบ (CVE-2026-13474, CVSS 8.7) โดยช่องโหว่ที่มีคะแนนสูงสุด 3 รายการได้คะแนน CVSS 8.8 เกิดจากปัญหาการตรวจสอบ input ไม่เพียงพอและ memory overflow ในการประมวลผล SAML, Gateway/AAA และ DNS
บริษัท watchTowr Labs ซึ่งเป็นหนึ่งในผู้ค้นพบช่องโหว่ ได้เผยแพร่รายงานทางเทคนิคระบุว่า CVE-2026-8451 ถูกค้นพบขณะพยายามทำซ้ำช่องโหว่ CVE-2026-3055 ที่เปิดเผยก่อนหน้านี้ และมีสาเหตุรากเหง้า (root cause) เดียวกันคือการจัดการหน่วยความจำที่เปราะบางในการ parse SAML authentication request นักวิจัยเตือนว่าแนวโน้มนี้บ่งชี้ว่าการจัดการหน่วยความจำใน NetScaler ยังคงเป็นจุดอ่อนที่น่ากังวล แม้ยังไม่พบหลักฐานการโจมตีจริงในขณะนี้ แต่ในอดีตอุปกรณ์ Citrix เคยตกเป็นเป้าหมายของการโจมตีเพื่อติดตั้ง ransomware หลายครั้ง
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 1 กรกฎาคม พ.ศ. 2569 ว่าบริษัท Citrix ได้เผยแพร่อัปเดตความปลอดภัยแก้ไขช่องโหว่ 6 รายการใน NetScaler ADC และ NetScaler Gateway โดยมีรายละเอียดดังนี้:
CVE-2026-8451 (CVSS 8.8) เป็นช่องโหว่ insufficient input validation ที่ทำให้เกิด memory overread เมื่อตั้งค่าเป็น SAML IDP ส่วน CVE-2026-8452 (CVSS 8.8) เป็นช่องโหว่ memory overflow ที่ทำให้ระบบทำงานผิดปกติและล่มเมื่อตั้งค่าเป็น Gateway หรือ AAA virtual server และ CVE-2026-8655 (CVSS 8.8) เป็นช่องโหว่ memory overflow หลายจุดที่ส่งผลเมื่อตั้งค่าเป็น load balancer สำหรับ Oracle, DNS Proxy หรือ DNS recursive resolver
CVE-2026-10816 (CVSS 7.7) เป็นช่องโหว่ที่อนุญาตให้อ่านไฟล์ใดก็ได้โดยไม่ต้องยืนยันตัวตนเมื่อเปิดใช้งาน NSIP, Cluster Management IP หรือ SNIP ที่มี management access ส่วน CVE-2026-10817 (CVSS 6.9) เป็นช่องโหว่ memory overread เมื่อเปิดใช้ TCP TimeStamp ใน TCP Profile และ CVE-2026-13474 (CVSS 8.7) เป็นช่องโหว่ memory leak ที่ทำให้เกิด DoS ผ่าน HTTP/2 request ที่ผิดรูปแบบ
ผู้ค้นพบช่องโหว่ได้แก่นาย Michael Tucker จากทีม XOR ของบริษัท JPMorgan Chase, นางสาว Aliz Hammond จากบริษัท watchTowr และนาย Maxim Suhanov โดยบริษัท watchTowr Labs ได้เผยแพร่รายงานทางเทคนิคพร้อมกับ bulletin ของ Citrix ระบุว่า CVE-2026-8451 ถูกค้นพบขณะพยายามทำซ้ำช่องโหว่ CVE-2026-3055 (CVSS 9.3) ที่เปิดเผยเมื่อต้นปี และมีสาเหตุรากเหง้าเดียวกัน
นางสาว Hammond เตือนว่าแม้ช่องโหว่ใหม่นี้จะรั่วข้อมูลได้น้อยกว่าช่องโหว่เดิม (เพียงไม่กี่ไบต์ต่อครั้ง เทียบกับ CVE-2026-3055 ที่รั่วได้เป็นกิโลไบต์) แต่สิ่งที่น่ากังวลคือแนวโน้มที่ชี้ชัดว่าการจัดการหน่วยความจำภายใน NetScaler ยังคงเปราะบาง แม้แค่ตั้งค่าผิดก็อาจทำให้หน่วยความจำรั่วไหลได้
รายละเอียดช่องโหว่
ช่องโหว่ CVE-2026-8451 เกิดจากวิธีที่ NetScaler parse SAML authentication request โดยมีสาเหตุรากเหง้าเดียวกับ CVE-2026-3055 ที่เปิดเผยเมื่อเดือนมีนาคม 2026 ทำให้เกิด out-of-bounds memory read เมื่อได้รับ SAML request ที่ผิดรูปแบบ อย่างไรก็ตาม ช่องโหว่ใหม่นี้จะหยุดอ่านเมื่อพบ control character เช่น NULL หรืออักขระ “>” ทำให้รั่วข้อมูลได้น้อยกว่า แต่ยังสามารถดึงข้อมูลได้โดยการปรับความยาวของ request
สำหรับ CVE-2026-13474 เป็นช่องโหว่ประเภท missing release of memory after effective lifetime ที่ทำให้เกิด memory leak เมื่อได้รับ HTTP/2 request ที่ผิดรูปแบบ สำหรับอุปกรณ์ที่ใช้ HTTP Strict Profiles ค่า Http2SmallWndTimeout จะตั้งเป็น 30 วินาทีโดยอัตโนมัติหลังอัปเดต แต่อุปกรณ์ที่ไม่ได้ใช้ HTTP Strict Profiles จะมีค่าเริ่มต้นเป็น 0 ซึ่งต้องตั้งค่าเป็น 30 วินาทีด้วยตนเองหลังอัปเดต มิฉะนั้นช่องโหว่จะยังไม่ถูกแก้ไขอย่างสมบูรณ์
แพตช์ได้ออกสำหรับ NetScaler ADC และ Gateway เวอร์ชัน 14.1-72.61 ขึ้นไป, เวอร์ชัน 13.1-63.18 ขึ้นไป และ FIPS/NDcPP build ที่เกี่ยวข้อง
ผลกระทบต่อไทย
NetScaler ADC และ NetScaler Gateway เป็นอุปกรณ์ที่ใช้กันอย่างแพร่หลายในองค์กรขนาดใหญ่ในประเทศไทย โดยเฉพาะในภาคการเงิน โทรคมนาคม และหน่วยงานราชการ เพื่อจัดการ load balancing, VPN และ application delivery ช่องโหว่ CVE-2026-10816 ที่อ่านไฟล์ได้โดยไม่ต้องยืนยันตัวตนเป็นอันตรายอย่างยิ่ง เนื่องจากผู้โจมตีอาจดึงไฟล์กำหนดค่า ข้อมูลรับรอง หรือข้อมูลสำคัญอื่นได้ ในอดีตอุปกรณ์ Citrix เคยตกเป็นเป้าหมายของแคมเปญ ransomware ระดับโลกหลายครั้ง และองค์กรไทยที่ยังไม่ได้อัปเดตอาจตกเป็นเป้าหมายถัดไป
คำแนะนำ
- อัปเดต NetScaler ADC และ NetScaler Gateway เป็นเวอร์ชันที่แก้ไขแล้วทันที (14.1-72.61 หรือ 13.1-63.18 ขึ้นไป)
- สำหรับ CVE-2026-13474 หากไม่ได้ใช้ HTTP Strict Profiles ต้องตั้งค่า Http2SmallWndTimeout เป็น 30 วินาทีด้วยตนเองหลังอัปเดต โดยใช้คำสั่ง
set ns httpProfile <profile_name> -http2SmallWndTimeout 30 - จำกัดการเข้าถึง NSIP, Cluster Management IP และ SNIP management interface จากเครือข่ายภายนอก
- ตรวจสอบล็อกว่ามีการพยายามเข้าถึงไฟล์หรือส่ง SAML request ที่ผิดปกติหรือไม่
- พิจารณาปิด HTTP/2 หากไม่จำเป็นต้องใช้งาน เพื่อลดพื้นผิวการโจมตี
