Эксплуатация критической уязвимости Citrix NetScaler началась менее чем через неделю после выпуска исправлений. Исследователи сообщают, что злоумышленники уже сканируют и "грабят" уязвимые устройства. — theregister.com
Эксплуатация критической уязвимости Citrix NetScaler в реальных условиях началась менее чем через неделю после её обнаружения: исследователи предупреждают, что злоумышленники уже сканируют и “грабят” уязвимые устройства.
На прошлой неделе Citrix выпустила исправления для CVE-2026-3055 — ошибки чтения за пределами буфера с рейтингом 9.3, выявленной внутренне. Описание звучало достаточно сухо, но для всех, кто помнит CitrixBleed и CitrixBleed2, фраза “чтение с переполнением памяти” заставила бить тревогу.
Эти тревоги прозвучали недолго, прежде чем кто-то открыл дверь. Аналитическая компания по киберразведке watchTowr сообщает, что уже в пятницу наблюдала разведывательный трафик, направленный на уязвимые экземпляры NetScaler, а к воскресенью у них появились доказательства активной эксплуатации.
“Прежде чем двигаться дальше, мы должны сказать кое-что ясно: эксплуатация в реальных условиях началась”, — написали исследователи, указывая на данные ловушек (honeypot), которые, по их словам, показали активность инфраструктуры, ранее связанной с угрожающими акторами, по состоянию на 27 марта. “Это впечатляющая скорость реакции для уязвимости, которую Citrix выявила внутренне”.
В эксплуатации нет никакой великой магии. Достаточно отправить запрос с параметром, который существует, но не содержит ничего — даже знака “=”, — и NetScaler просто обрабатывает его. Вместо выдачи ошибки он обращается к памяти, к которой не должен иметь доступа, и возвращает всё, что там находится, от токенов сеанса до учетных данных и других остатков.
WatchTowr заявляет, что уязвимость “выглядит, пахнет и ведёт себя” как CitrixBleed2, продолжая давнюю тему проблем с управлением памятью в граничных устройствах, которые располагаются непосредственно перед системами аутентификации.
Есть ещё один нюанс. По словам исследователей, CVE-2026-3055 — это не одна ошибка, а несколько тесно связанных утечек памяти — по сути, несколько уязвимостей, объединённых под одним идентификатором. В ходе своего анализа они заявляют, что обнаружили ещё одну похожую проблему и сообщили о ней в Citrix.
Национальный центр кибербезопасности Великобритании уже призвал организации установить патчи, предупреждая, что развёртывания NetScaler ADC и Gateway широко подвержены риску и часто находятся на критических путях идентификации. Это делает их особенно привлекательными целями после начала эксплуатации.
Citrix, со своей стороны, пока публично не подтвердила активную эксплуатацию, а её консультативное уведомление не обновлялось с 27 марта. Это оставляет администраторов в теперь уже привычной ситуации гонки за установкой патчей, пока злоумышленники проверяют, сколько данных смогут “слить” эти устройства.
Если недавняя история является руководством к действию, ответ может быть больше, чем хотелось бы кому-либо. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page