Эксперты призывают немедленно установить исправления для устройств NetScaler из-за новой критической уязвимости CVE-2026-3055, схожей с CitrixBleed. Это уязвимость чтения за пределами границ с рейтингом 9.3, позволяющая неаутентифицированным атакам утекать данные. — csoonline.com
Эксперты заявляют, что критическую уязвимость в устройствах NetScaler, схожую с широко эксплуатируемыми уязвимостями CitrixBleed и CitrixBleed2, необходимо устранить немедленно.
Дыра, CVE-2026-3055, представляет собой уязвимость типа “чтение за пределами границ” (out-of-bounds read) в управляемых клиентами устройствах NetScaler ADC и NetScaler Gateway, настроенных как SAML IDP для утверждения идентификации и аутентификации. Ее уровень критичности по шкале CVSS составляет 9.3.
«Последствия отсутствия патча серьезны», — сообщил Райан Эммонс, штатный исследователь безопасности в Rapid7, изданию CSO по электронной почте, поскольку эта уязвимость позволяет неаутентифицированному удаленному злоумышленнику утекать потенциально конфиденциальную информацию из памяти устройства.
«Этой уязвимостью активно интересуются как злоумышленники, так и исследователи», — отметил он.
Эммонс добавил, что эта уязвимость имеет схожие последствия с уязвимостями утечки памяти CitrixBleed 2023 года (CitrixBleed) и 2025 года (CitrixBleed2). Тогда неаутентифицированные злоумышленники без какого-либо существующего уровня доступа могли похищать учетные данные из критически важных для бизнеса систем Citrix NetScaler, доступных в публичном интернете.
CitrixBleed2 позволяла злоумышленникам утекать конфиденциальное содержимое памяти, отправляя специально сформированные HTTP-запросы на уязвимую конечную точку Citrix. Когда эта уязвимость была обнаружена в прошлом году, исследователи из Imperva быстро зафиксировали попытки злоумышленников использовать эту дыру, обнаружив более 11,5 миллионов атак.
Одна из успешных атак была совершена группировкой из Китая, известной исследователям как Salt Typhoon, которая, по данным Darktrace, обошла защиту неназванного европейского телекоммуникационного провайдера, используя CitrixBleed2, и установила бэкдор.
«Мы ожидаем, что эксплуатация этой уязвимости приведет к тому же, — сказал он. — Первоначальный доступ. Учитывая потенциальную выгоду, крайне вероятно, что злоумышленники активно работают над созданием эксплойта для CVE-2026-3055, и мы считаем, что эксплуатация в реальных условиях неминуема».
Уязвимость затрагивает NetScaler ADC и NetScaler Gateway версии 14.1 до 14.1-66.59; NetScaler ADC и NetScaler Gateway версии 13.1 до 13.1-62.23; а также NetScaler ADC FIPS и NDcPP до 13.1-37.262.
В своем уведомлении для клиентов Citrix «настоятельно призывает затронутых клиентов» как можно скорее установить соответствующие обновленные версии.
В том же уведомлении Citrix предупредила администраторов об CVE-2026-4368 — состоянии гонки (race condition), приводящем к смешиванию сессий пользователей, с рейтингом 7.7 по шкале CVSS, которая применима к устройствам NetScaler ADC и NetScaler Gateway 14.1-66.54.
Основные цели
NetScaler ADC — это контроллеры доставки приложений, которые оптимизируют доставку веб-приложений и традиционных приложений посредством балансировки нагрузки и управления трафиком, в то время как NetScaler Gateway — это VPN-решения.
Поскольку ADC и VPN являются интернет-ориентированными, они представляют собой основные цели для злоумышленников. «Все, на что организации склонны сильно полагаться и что они выставляют на сетевом периметре, становится лакомой целью в глазах атакующих», — сказал Эммонс. «Это не означает, что качество этих продуктов низкое, это просто означает, что злоумышленники тратят значительное время и энергию на поиск и эксплуатацию тонких недостатков в них».
Эммонс отметил, что Citrix заявляет в своем бюллетене, что CVE-2026-3055 была обнаружена в ходе тестирования безопасности продукта, «что означает, что они занимают проактивную позицию, чтобы найти эти ошибки до того, как это сделают злоумышленники. Это замечательно. Продукты Citrix невероятно популярны и широко используются, и они регулярно подвергаются воздействию публичного интернета, поэтому первостепенное значение имеет то, что поставщик уделяет приоритетное внимание безопасности таким образом».
Эммонс считает, что лучшее, что могут сделать защитники для защиты ADC и VPN, — это сократить поверхность атаки, обеспечить наличие и эффективное распространение разведывательной информации об уязвимостях, а также расставить приоритеты в установке исправлений для наиболее важных систем.
«Системы, которым не нужно быть доступными из интернета, не должны быть таковыми, — сказал он. — Где это возможно, ключевым моментом является сокращение публично доступной поверхности атаки. Когда это уже реализовано, крайне важно иметь раннюю и точную информацию об уязвимостях, затрагивающих продукты, на которые полагается организация. Необходимо сосредоточиться на том, чтобы важные уведомления о безопасности были максимально заметны для команд защиты в день публикации для триажа».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon