Citrix выпускает срочные патчи для критических уязвимостей чтения памяти в NetScaler ADC и Gateway
TL;DR
Citrix выпускает срочные патчи для критических уязвимостей чтения памяти в NetScaler ADC и Gateway
Если вы используете инфраструктуру NetScaler, отложите все дела и проверьте номера версий вашего ПО. Cloud Software Group выпустила пакет срочных исправлений для NetScaler ADC, Gateway и Console. Речь идет о ряде уязвимостей — некоторые из которых имеют оценку CVSS 9.3, — которые могут позволить злоумышленнику перехватить сессии, получить доступ к конфиденциальным данным или проникнуть в вашу сеть.
Это не та ситуация, когда можно отложить обновление «на потом». Эти уязвимости затрагивают основы того, как ваши устройства обрабатывают память и аутентификацию.
Разбор: что именно сломано?
Бюллетень безопасности охватывает широкий спектр ошибок, но две из них выделяются своей серьезностью. Во-первых, это CVE-2025-5777, опасная уязвимость чтения памяти (memory overread), затрагивающая NetScaler Gateway и виртуальные серверы AAA. Во-вторых, CVE-2026-3055 — ошибка чтения за пределами границ (out-of-bounds read), нацеленная на системы, выступающие в роли SAML Identity Provider (IdP).
В сообществе специалистов по безопасности мнения об активной эксплуатации этих уязвимостей разделились. Некоторые отчеты указывают на то, что злоумышленники уже пытаются использовать эти бреши, в то время как другие пока не зафиксировали масштабных кампаний. В любом случае, при таких высоких оценках риска ожидание подтверждения эксплуатации — проигрышная стратегия.
Краткий обзор основных уязвимостей:
| Уязвимость | Оценка CVSS | Серьезность | Основное воздействие |
|---|---|---|---|
| CVE-2025-5777 | 9.3 | Критическая | Чтение памяти в Gateway/AAA |
| CVE-2026-3055 | 9.3 | Критическая | Чтение за пределами границ (SAML IdP) |
| CVE-2025-5349 | 8.7 | Высокая | Некорректный контроль доступа |
| CVE-2026-4368 | 7.7 | Высокая | Смешивание сессий пользователей / состояние гонки |
| CVE-2025-4365 | 6.9 | Средняя | Произвольное чтение файлов |
Возьмем, к примеру, CVE-2026-4368. Это состояние гонки (race condition), которое по сути перемешивает сессии пользователей. В общей или мультиарендной среде это настоящий кошмар: один пользователь может случайно оказаться в контексте сессии другого. Это логическая ошибка, превращающая защищенный шлюз в «решето».
План действий по устранению
Исправление этих уязвимостей — это не просто нажатие кнопки «обновить». Поскольку ошибки связаны с управлением памятью, необходимо очистить систему, чтобы убедиться, что в ней не осталось «призрачных» данных.
Сначала перейдите к официальным обновлениям безопасности для NetScaler, чтобы загрузить сборку, соответствующую вашей среде. Вам нужны версии вроде 14.1-66.59, 13.1-62.23 или 13.1-37.262 (для FIPS/NDcPP).
После установки обновления работа не заканчивается. Выполните следующие шаги, чтобы убедиться, что исправление вступило в силу:
- Завершите сессии: После обновления необходимо аннулировать все активные и постоянные сессии. Если этого не сделать, вы оставите дверь открытой для потенциально скомпрометированных сессий.
- Очистите буферы: На узлах HA-пар и кластеров необходимо вручную очистить буферы соединений. Выполните команды
kill icaconnection -allиkill pcoipConnection -all, чтобы удалить любые оставшиеся потенциально скомпрометированные данные. - Защитите консоль: Не ограничивайтесь только установкой патчей. Проверьте свою конфигурацию на соответствие лучшим практикам безопасности консоли NetScaler, чтобы убедиться, что ваши интерфейсы управления не доступны из публичного интернета.
Бюллетень безопасности CERT-EU ясно дает понять: это не просто мелкие ошибки. Поскольку они бьют в самое сердце аутентификации — в частности, по серверам SAML IdP и AAA, — риск кражи учетных данных очень велик.
Укрепление периметра
Если вы планировали усилить сетевую безопасность, сейчас самое время. Установка патчей — это первый шаг, но лишь часть стратегии глубокоэшелонированной защиты. Ознакомьтесь с руководством по конфигурации NetScaler и начните с ограничения доступа к интерфейсам управления. Если доступ из интернета не требуется, его быть не должно.
Используйте официальную статью поддержки Citrix для проверки требований к вашей сборке. Каждая среда уникальна, и пропуск специфических требований к версии может оставить вас уязвимыми.
Ландшафт угроз меняется быстро. Сейчас приоритет — закрыть эти бреши до того, как они станут заголовками отчетов об утечках. Не ждите планового обслуживания через несколько недель — поставьте эти обновления в начало списка задач. Следите за официальными каналами, поддерживайте чистоту логов и не считайте свою текущую конфигурацию «достаточно хорошей», пока не проверите ее на соответствие этим новым патчам.
Безопасность — это постоянная игра в кошки-мышки, и сейчас мышь имеет преимущество. Установите патчи и очистите буферы сессий.