Хакеры используют критическую уязвимость CVE-2026-3055 в Citrix NetScaler ADC и Gateway для кражи конфиденциальных данных. Эксплуатация уже началась, злоумышленники извлекают ID сеансов администратора. — bleepingcomputer.com
Хакеры используют уязвимость критической степени серьезности, отслеживаемую как CVE-2026-3055, в устройствах Citrix NetScaler ADC и NetScaler Gateway для получения конфиденциальных данных.
Citrix впервые раскрыла информацию о CVE-2026-3055 в бюллетене по безопасности 23 марта, наряду с уязвимостью состояния гонки высокой степени серьезности, отслеживаемой как CVE-2026-4368. Проблема затрагивает версии двух продуктов до 14.1-60.58, версии старше 13.1-62.23 и старше 13.1-37.262.
Поставщик подчеркнул, что уязвимость затрагивает только устройства, настроенные в качестве поставщика удостоверений SAML (IDP), и отметил, что действия требуются только для администраторов, использующих локальные устройства.
В ответ на бюллетень несколько фирм по кибербезопасности подчеркнули, что CVE-2026-3055 представляет значительный риск, отмечая техническое сходство с широко эксплуатируемыми уязвимостями ‘CitrixBleed’ и CitrixBleed2, обнаруженными в 2023 и 2025 годах соответственно.
watchTowr, компания, предоставляющая услуги по моделированию угроз и непрерывному тестированию, сообщила в субботу, что наблюдала разведывательную активность, нацеленную на уязвимые экземпляры, и предупредила о неминуемой эксплуатации в реальных условиях.
На следующий день исследователи подтвердили, что злоумышленники начали использовать уязвимость как минимум с 27 марта для извлечения идентификаторов сеансов администратора аутентификации, что потенциально может привести к полному захвату устройств NetScaler.
«Эксплуатация в реальных условиях началась, свидетельства из нашей сети ловушек (honeypot) показывают эксплуатацию с известных IP-адресов злоумышленников с 27 марта», — сообщает watchTowr.
Анализ watchTowr показывает, что CVE-2026-3055 на самом деле охватывает как минимум две различные ошибки чтения памяти (memory overread), а не одну. Первая затрагивает конечную точку «/saml/login», обрабатывающую аутентификацию SAML, в то время как вторая затрагивает конечную точку «/wsfed/passive», используемую для пассивной аутентификации WS-Federation.
Исследователи продемонстрировали, что уязвимость безопасности может быть использована для получения «конфиденциальной информации, включая идентификаторы сеансов администратора с аутентификацией».
Исследователи назвали неполное раскрытие информации об уязвимости в бюллетене безопасности Citrix «неискренним». Они также опубликовали скрипт на Python, чтобы помочь защитникам выявить уязвимые хосты в своих средах.
На момент публикации в бюллетене Citrix не упоминается об эксплуатации CVE-2026-3055. BleepingComputer обратился в компанию за комментарием относительно заявленной активности злоумышленников, нацеленной на необновленные устройства, но ответа не получил.
По состоянию на 28 марта, The ShadowServer Foundation обнаружила 29 000 экземпляров NetScaler и 2 250 экземпляров Gateway, доступных в сети, хотя неясно, какой процент из них уязвим к CVE-2026-3055.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas