Критическая уязвимость CitrixBleed под активной эксплуатацией требует срочного обновления шлюзов NetScaler
TL;DR
Критическая уязвимость CitrixBleed под активной эксплуатацией требует срочного обновления шлюзов NetScaler
Если вы используете устройства Citrix NetScaler ADC или Gateway, бросайте все дела и проверяйте журналы обновлений. Прямо сейчас. Мы столкнулись с двойным ударом уязвимостей — CVE-2026-8451 и более старой, но все еще опасной CVE-2025-5777, которые активно эксплуатируются злоумышленниками. Это не просто теоретические риски; они используются для обхода аутентификации и перехвата сессий, и CISA уже внесла их в свой каталог известных эксплуатируемых уязвимостей (KEV).
В чем корень проблемы? Эти устройства «протекают» по памяти. Неавторизованные злоумышленники извлекают конфиденциальные данные — токены сессий, учетные данные MFA и многое другое — прямо из памяти. Им не нужен пароль. Им не нужно приглашение. Им достаточно обратиться к нужному эндпоинту, и устройство само выдает ключи от королевства.
Анатомия взлома: CVE-2025-5777 и CVE-2026-8451
Давайте поговорим о «CitrixBleed 2», или CVE-2025-5777. Она опасна своей простотой. Отправляя некорректный, неполный POST-запрос на /p/u/doAuthentication.do, злоумышленник может извлекать по 127 байт памяти за запрос. Это кажется мелочью, но этого достаточно, чтобы перехватить SAML StateContext и токены активных сессий. Splunk Research отслеживает это с середины июня 2025 года, отмечая, что злоумышленники используют автоматизированные скрипты, такие как HeadlessChrome, для масштабных атак.
Затем появилась новая головная боль: CVE-2026-8451. Это уязвимость чтения памяти до аутентификации с оценкой CVSS 8.8. Она нацелена на парсер SAML, в частности, манипулируя файлом cookie NSC_TASS. Как отмечает Tech Insider, скорость превращения уязвимости в инструмент атаки была пугающей — ханипоты фиксировали попытки эксплуатации в течение 24 часов после того, как информация об уязвимости стала публичной 30 июня 2026 года.
Влияние и меры по устранению: что нужно сделать
Поскольку эти уязвимости срабатывают до аутентификации, ваши стандартные средства защиты периметра практически бесполезны. Вы не сможете просто закрыться файрволом. Вот обзор угрозы:
| Идентификатор уязвимости | Основной вектор | Последствия |
|---|---|---|
| CVE-2025-5777 | /p/u/doAuthentication.do |
Кража токенов сессий/MFA |
| CVE-2026-8451 | Парсер SAML (NSC_TASS) | Чтение памяти/утечка данных |
Если вы хотите защитить свою сеть от разграбления, действуйте быстро. Вот ваш чек-лист:
- Обновляйтесь, обновляйтесь и еще раз обновляйтесь: Не ждите выходных. Установите экстренные обновления, выпущенные Citrix 30 июня 2026 года. Здесь нет компромиссов; если вы не обновились, вы уязвимы.
- Завершите сессии: Это то, о чем люди забывают. Даже если вы закрыли дыру, злоумышленник может уже находиться внутри с украденным токеном. Вам необходимо глобально завершить все активные сессии, чтобы пресечь любой несанкционированный доступ.
- Ищите подозрительную активность: Используйте руководство по мониторингу сети от Splunk Research, чтобы найти специфическую телеметрию, которую оставляют эти эксплойты.
- Аудит журналов: Ищите неполные POST-запросы или HTTP-ответы, которые кажутся подозрительно большими. Это верные признаки атаки с чтением памяти.
Цикл эскалации
Мы уже видели это раньше. Исследователи безопасности с начала 2026 года предупреждали, что уязвимости NetScaler — это тревожный сигнал о грядущих волнах массовых атак. Как только в сети появляется Proof-of-Concept (PoC), шлюзы открываются. Автоматизированные оппортунистические атаки следуют почти немедленно, превращая «критическую уязвимость» в «полномасштабный инцидент» за одну ночь.
Тот факт, что CISA отметила эти уязвимости, является серьезным предупреждением как для государственного, так и для частного сектора. Не существует «обходного пути», который позволил бы вам продолжать работу, не подвергая риску инфраструктуру. Вы должны установить патч. Если вы этого не сделаете, вы оставляете дверь открытой для злоумышленников, позволяя им обойти MFA и закрепиться в вашей сети.
Если вы подозреваете, что вас уже взломали, не паникуйте — действуйте методично. Руководство Splunk Research по обнаружению веб-атак — отличный ресурс для идентификации структур HTTP-запросов, используемых в этих атаках. Загрузите эти данные в свой SIEM и проверьте, нет ли чего-то необычного.
В конечном счете, эти устройства — парадная дверь к вашим самым чувствительным ресурсам. Когда у двери сломан замок, вы не просто вешаете табличку «пожалуйста, не входите» — вы чините замок. Обновление — единственный способ закрыть дверь, а принудительное завершение сессий — единственный способ убедиться, что злоумышленники, уже находящиеся внутри, выдворены. Будьте бдительны, обновляйтесь и не считайте себя в безопасности, пока патчи не установлены, а сессии не сброшены.