Citrix выпускает срочные патчи для критических уязвимостей чтения памяти в NetScaler ADC и Gateway
TL;DR
Citrix выпускает срочные патчи для критических уязвимостей чтения памяти в NetScaler ADC и Gateway
Если вы используете устройства NetScaler ADC или Gateway, отложите все дела и проверьте номера версий. Компания Citrix только что выпустила набор патчей для двух опасных уязвимостей, которые, откровенно говоря, нельзя оставлять без внимания.
Главная проблема — CVE-2026-3055. Это уязвимость чтения за пределами границ (out-of-bounds read), получившая оценку 9.3 по шкале CVSS, что относит её к категории «критических». Простыми словами? Она позволяет неавторизованному удаленному злоумышленнику получить доступ к памяти устройства, настроенного как поставщик удостоверений SAML (IdP), и похитить конфиденциальные данные. Речь идет об активных токенах сессий, учетных данных пользователей и деталях внутренней конфигурации. Если злоумышленник получит к ним доступ, ваша периметровая защита фактически перестанет существовать.
Вторая проблема — CVE-2026-4368. Это состояние гонки (race condition) с уровнем опасности 7.7. Она не так заметна, как утечка памяти, но не менее опасна. На устройствах, работающих в качестве шлюза (Gateway) или виртуального сервера AAA, эта ошибка может привести к смешиванию пользовательских сессий. В результате один пользователь может получить доступ к данным другого, что является катастрофой для конфиденциальности и контроля доступа.
Техническая реальность
Механика CVE-2026-3055 вызывает особую тревогу. Когда ваше устройство выступает в роли SAML IdP, оно должно быть «привратником». Вместо этого данная уязвимость превращает его в «дырявый кран». Детальный анализ от Hadrian подтверждает, что чтение за пределами границ позволяет злоумышленникам считывать содержимое памяти, которое должно быть строго защищено.
Состояние гонки в CVE-2026-4368 — это совсем другая история. Все дело в таймингах. Используя эту уязвимость, злоумышленник может заставить систему ошибочно сопоставить сессии. Если вы используете Gateway или AAA, это означает, что ваши данные, специфичные для сессии, могут быть раскрыты кому-то другому в сети.
Согласно CERT-EU, на данный момент нет доказательств того, что эти уязвимости активно эксплуатируются «в дикой природе». Но не позволяйте этому усыпить вашу бдительность. Это именно те ошибки, которые привлекают исследователей и хакеров, и как только в сети появится рабочий эксплойт, окно для «тихого» обновления захлопнется.
Кому нужно устанавливать патчи?
Citrix уже обновила свои облачные экземпляры, поэтому, если вы используете их облако, вы, скорее всего, в безопасности. Для всех остальных, кто управляет собственным оборудованием NetScaler ADC и Gateway или виртуальными экземплярами, ответственность лежит полностью на вас. Вам необходимо немедленно проверить свою версию сборки.
| Идентификатор CVE | Серьезность (CVSS) | Тип уязвимости | Основное воздействие |
|---|---|---|---|
| CVE-2026-3055 | 9.3 (Критическая) | Чтение за пределами границ | Утечка конфиденциальной информации |
| CVE-2026-4368 | 7.7 (Высокая) | Состояние гонки | Смешивание сессий пользователей |
Если вы используете версии старше указанных ниже, вы уязвимы:
- NetScaler ADC и Gateway 14.1: версии до 14.1-66.59
- NetScaler ADC и Gateway 13.1: версии до 13.1-62.23
- NetScaler ADC и Gateway 13.1 (FIPS/NDcPP): версии до 13.1-37.262
План действий
Установка патча — это только первый шаг. Поскольку уязвимость чтения памяти затрагивает данные сессий, простое обновление не очищает систему автоматически. Если токен был скомпрометирован до установки патча, он все еще может быть действителен.
Вот как следует проводить процедуру устранения последствий:
- Сначала патч: Установите обновления немедленно. Не ждите выходных.
- Сброс сессий: Как только патч установлен, принудительно завершите все активные сессии пользователей. Это может доставить неудобства, но это единственный способ гарантировать, что потенциально скомпрометированные токены станут бесполезными.
- Аудит SAML: Поскольку CVE-2026-3055 связана с SAML IdP, уделите время проверке конфигураций SAML. Убедитесь, что ваше устройство не открыто для трафика, который ему не нужен.
- Мониторинг логов: Внимательно следите за журналами аутентификации. Ищите любые аномалии в сессиях или неожиданные паттерны входа в систему.
Полную техническую документацию и файлы патчей можно найти на портале поддержки Citrix.
Почему это важно
Устройства NetScaler — это парадная дверь в вашу корпоративную сеть. Когда они скомпрометированы, под угрозой оказывается весь дом. Эти уязвимости подчеркивают, насколько хрупкой может быть периметровая защита, если в программном обеспечении, управляющем идентификацией и доступом, есть брешь.
Сочетание критической утечки памяти и смешивания сессий — это напоминание о том, что стратегия «настроил и забыл» опасна для сетевой инфраструктуры. Поскольку эти устройства находятся на границе сети, они являются постоянными целями. Если вы не поддерживаете строгий цикл обновления, вы, по сути, оставляете дверь открытой.
Подумайте о более широких последствиях: если ваш SAML IdP скомпрометирован, злоумышленник получает не просто доступ к одному приложению — он получает ключи от всего вашего «королевства». Они могут обойти вторичную аутентификацию и перемещаться по вашей сети, прежде чем вы поймете, что что-то идет не так.
Хотя текущее отсутствие активной эксплуатации — это удача, не стоит рассчитывать, что она продлится долго. Автоматизированные инструменты сканирования, скорее всего, уже настраиваются на поиск этих конкретных версий. Команды безопасности должны рассматривать это как задачу с наивысшим приоритетом. Установите патчи, очистите сессии и проверьте конфигурации. От этого зависит безопасность вашей сети.