Citrix выпускает срочные патчи для критических уязвимостей чтения памяти в NetScaler ADC и Gateway

NetScaler ADC vulnerabilities CVE-2025-5777 Citrix security patches NetScaler Gateway memory overread critical VPN gateway vulnerabilities
J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 
1 июля 2026 г.
4 мин. чтения
Citrix выпускает срочные патчи для критических уязвимостей чтения памяти в NetScaler ADC и Gateway

TL;DR

• В NetScaler ADC и Gateway обнаружены критические уязвимости (CVSS 9.3). • CVE-2025-5777 и CVE-2026-3055 позволяют считывать память и перехватывать сессии. • Требуется немедленное обновление всех развертываний NetScaler. • После установки патчей администраторы должны принудительно завершить все активные сессии.

Citrix выпускает срочные патчи для критических уязвимостей чтения памяти в NetScaler ADC и Gateway

Если вы используете инфраструктуру NetScaler, отложите все дела и проверьте номера версий вашего ПО. Cloud Software Group выпустила пакет срочных исправлений для NetScaler ADC, Gateway и Console. Речь идет о ряде уязвимостей — некоторые из которых имеют оценку CVSS 9.3, — которые могут позволить злоумышленнику перехватить сессии, получить доступ к конфиденциальным данным или проникнуть в вашу сеть.

Это не та ситуация, когда можно отложить обновление «на потом». Эти уязвимости затрагивают основы того, как ваши устройства обрабатывают память и аутентификацию.

Разбор: что именно сломано?

Бюллетень безопасности охватывает широкий спектр ошибок, но две из них выделяются своей серьезностью. Во-первых, это CVE-2025-5777, опасная уязвимость чтения памяти (memory overread), затрагивающая NetScaler Gateway и виртуальные серверы AAA. Во-вторых, CVE-2026-3055 — ошибка чтения за пределами границ (out-of-bounds read), нацеленная на системы, выступающие в роли SAML Identity Provider (IdP).

В сообществе специалистов по безопасности мнения об активной эксплуатации этих уязвимостей разделились. Некоторые отчеты указывают на то, что злоумышленники уже пытаются использовать эти бреши, в то время как другие пока не зафиксировали масштабных кампаний. В любом случае, при таких высоких оценках риска ожидание подтверждения эксплуатации — проигрышная стратегия.

Краткий обзор основных уязвимостей:

Уязвимость Оценка CVSS Серьезность Основное воздействие
CVE-2025-5777 9.3 Критическая Чтение памяти в Gateway/AAA
CVE-2026-3055 9.3 Критическая Чтение за пределами границ (SAML IdP)
CVE-2025-5349 8.7 Высокая Некорректный контроль доступа
CVE-2026-4368 7.7 Высокая Смешивание сессий пользователей / состояние гонки
CVE-2025-4365 6.9 Средняя Произвольное чтение файлов

Возьмем, к примеру, CVE-2026-4368. Это состояние гонки (race condition), которое по сути перемешивает сессии пользователей. В общей или мультиарендной среде это настоящий кошмар: один пользователь может случайно оказаться в контексте сессии другого. Это логическая ошибка, превращающая защищенный шлюз в «решето».

План действий по устранению

Исправление этих уязвимостей — это не просто нажатие кнопки «обновить». Поскольку ошибки связаны с управлением памятью, необходимо очистить систему, чтобы убедиться, что в ней не осталось «призрачных» данных.

Сначала перейдите к официальным обновлениям безопасности для NetScaler, чтобы загрузить сборку, соответствующую вашей среде. Вам нужны версии вроде 14.1-66.59, 13.1-62.23 или 13.1-37.262 (для FIPS/NDcPP).

После установки обновления работа не заканчивается. Выполните следующие шаги, чтобы убедиться, что исправление вступило в силу:

  • Завершите сессии: После обновления необходимо аннулировать все активные и постоянные сессии. Если этого не сделать, вы оставите дверь открытой для потенциально скомпрометированных сессий.
  • Очистите буферы: На узлах HA-пар и кластеров необходимо вручную очистить буферы соединений. Выполните команды kill icaconnection -all и kill pcoipConnection -all, чтобы удалить любые оставшиеся потенциально скомпрометированные данные.
  • Защитите консоль: Не ограничивайтесь только установкой патчей. Проверьте свою конфигурацию на соответствие лучшим практикам безопасности консоли NetScaler, чтобы убедиться, что ваши интерфейсы управления не доступны из публичного интернета.

Бюллетень безопасности CERT-EU ясно дает понять: это не просто мелкие ошибки. Поскольку они бьют в самое сердце аутентификации — в частности, по серверам SAML IdP и AAA, — риск кражи учетных данных очень велик.

Укрепление периметра

Если вы планировали усилить сетевую безопасность, сейчас самое время. Установка патчей — это первый шаг, но лишь часть стратегии глубокоэшелонированной защиты. Ознакомьтесь с руководством по конфигурации NetScaler и начните с ограничения доступа к интерфейсам управления. Если доступ из интернета не требуется, его быть не должно.

Используйте официальную статью поддержки Citrix для проверки требований к вашей сборке. Каждая среда уникальна, и пропуск специфических требований к версии может оставить вас уязвимыми.

Ландшафт угроз меняется быстро. Сейчас приоритет — закрыть эти бреши до того, как они станут заголовками отчетов об утечках. Не ждите планового обслуживания через несколько недель — поставьте эти обновления в начало списка задач. Следите за официальными каналами, поддерживайте чистоту логов и не считайте свою текущую конфигурацию «достаточно хорошей», пока не проверите ее на соответствие этим новым патчам.

Безопасность — это постоянная игра в кошки-мышки, и сейчас мышь имеет преимущество. Установите патчи и очистите буферы сессий.

J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 

James Okoro is a certified ethical hacker (CEH) and cybersecurity journalist with a background in military intelligence. After serving as a cyber operations analyst, he transitioned into the private sector, working as a threat intelligence consultant before finding his voice as a writer. James has covered major data breaches, ransomware campaigns, and state-sponsored cyberattacks for several leading security publications. He brings a tactical, insider perspective to his reporting on the ever-evolving threat landscape.

Новости по теме

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security
WireGuard and OpenVPN protocol security updates

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security

Private Internet Access upgrades WireGuard and OpenVPN protocols to boost remote access security, performance, and encryption stability. Learn how it impacts you.

Автор: Viktor Sokolov 10 июля 2026 г. 4 мин. чтения
common.read_full_article
Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways
CitrixBleed

Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways

Critical vulnerability CVE-2023-4966 is under active exploitation. Patch your NetScaler ADC and Gateway appliances immediately to prevent session hijacking.

Автор: Marcus Chen 9 июля 2026 г. 4 мин. чтения
common.read_full_article
WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed
CVE-2026-13368

WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed

WatchGuard issues third critical IKEv2 patch in ten months. Learn how CVE-2026-13368 affects your Firebox appliances and the risks to legacy hardware.

Автор: Elena Voss 8 июля 2026 г. 4 мин. чтения
common.read_full_article
Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026
Dropbox security breach

Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026

Following the Dropbox security breach, enterprises are urgently reviewing encryption protocols and remote access alternatives. Learn the impact and 2026 security trends.

Автор: James Okoro 7 июля 2026 г. 4 мин. чтения
common.read_full_article