Citrix NetScaler снова оказался под прицелом. На этот раз речь идёт об уязвимости CVE-2026-3055, получившей критическую оценку 9.3 по шкале CVSS. Это ошибка переполнения чтения памяти (memory overread), вызванная недостаточной валидацией входных данных. Суть проблемы: атакующий может вытянуть из памяти устройства потенциально чувствительную информацию. Но есть нюанс — для успешной эксплуатации устройство должно быть настроено как SAML Identity Provider (SAML IDP). Именно эта конфигурация и превращает баг в реальную угрозу.
Уязвимости подвержены NetScaler ADC и NetScaler Gateway версий до 14.1-60.58, версий 14.1 до 14.1-66.59 и версий 13.1 до 13.1-62.23. Отдельно затронуты NetScaler ADC FIPS и NDcPP — версии 13.1-FIPS и 13.1-NDcPP до 13.1-37.262.
Разведка атакующих устроена довольно элегантно. Сначала они обращаются к эндпоинту
Сама эксплуатация выглядит так: на эндпоинт
Утечка данных происходит через cookie с именем
27 марта 2026 года watchTowr отметила, что попытки эксплуатации начали поступать с IP-адресов, уже связанных с известными группами злоумышленников. Значит, атака перешла от стадии разведки к реальному применению. 30 марта 2026 года появились дополнительные технические подробности уязвимости.
Агентство CISA (Агентство по кибербезопасности и защите инфраструктуры США) отслеживает угрозу и внесло CVE-2026-3055 в каталог KEV — реестр известных эксплуатируемых уязвимостей. Для федеральных гражданских ведомств (FCEB) установлен жёсткий дедлайн: патчи должны быть применены до 2 апреля 2026 года.
История с NetScaler повторяется не впервые. За последние годы несколько критических уязвимостей Citrix NetScaler активно эксплуатировались «в дикой природе»: CVE-2023-4966, известная как «Citrix Bleed», CVE-2025-5777 — «Citrix Bleed 2», а также CVE-2025-6543 и CVE-2025-7775. Каждый раз организации, затянувшие с обновлением, платили за это утечками и компрометацией данных.
Рекомендация для всех, кто эксплуатирует затронутые версии NetScaler с конфигурацией SAML IDP, сформулирована предельно прямо: бросайте всё и патчите немедленно. Угроза уже не теоретическая — идёт активная эксплуатация, и каждый час промедления увеличивает риск утечки конфиденциальных данных из памяти устройства.
Изображение носит иллюстративный характер
Уязвимости подвержены NetScaler ADC и NetScaler Gateway версий до 14.1-60.58, версий 14.1 до 14.1-66.59 и версий 13.1 до 13.1-62.23. Отдельно затронуты NetScaler ADC FIPS и NDcPP — версии 13.1-FIPS и 13.1-NDcPP до 13.1-37.262.
Разведка атакующих устроена довольно элегантно. Сначала они обращаются к эндпоинту
/cgi/GetAuthMethods, чтобы перечислить включённые потоки аутентификации и выяснить, работает ли конкретный экземпляр NetScaler как SAML IDP. Если да — переходят к активной фазе. Компания Defused Cyber опубликовала в соцсети X (бывший Twitter) детали обнаруженного фингерпринтинга методов аутентификации и специфику полезных нагрузок. Сама эксплуатация выглядит так: на эндпоинт
/saml/login отправляется специально сформированный SAMLRequest, в котором намеренно отсутствует поле AssertionConsumerServiceURL. При этом HTTP-запрос содержит параметр строки запроса wctx, но без значения и без символа =. Непропатченная система проверяет лишь наличие переменной wctx, не проверяя связанных с ней данных, и в итоге указатель «уходит» в неинициализированную область памяти — так называемую «мёртвую память». Утечка данных происходит через cookie с именем
NSC_TASS. Содержимое памяти приходит в формате Base64. Пропатченная же система на такой запрос безопасно возвращает сообщение: «Parsing of presented Assertion failed; Please contact your administrator.wctx». Эти технические подробности раскрыла исследовательница Ализ Хаммонд из компании watchTowr, которая также зафиксировала активную разведку в своей сети honeypot-ловушек. 27 марта 2026 года watchTowr отметила, что попытки эксплуатации начали поступать с IP-адресов, уже связанных с известными группами злоумышленников. Значит, атака перешла от стадии разведки к реальному применению. 30 марта 2026 года появились дополнительные технические подробности уязвимости.
Агентство CISA (Агентство по кибербезопасности и защите инфраструктуры США) отслеживает угрозу и внесло CVE-2026-3055 в каталог KEV — реестр известных эксплуатируемых уязвимостей. Для федеральных гражданских ведомств (FCEB) установлен жёсткий дедлайн: патчи должны быть применены до 2 апреля 2026 года.
История с NetScaler повторяется не впервые. За последние годы несколько критических уязвимостей Citrix NetScaler активно эксплуатировались «в дикой природе»: CVE-2023-4966, известная как «Citrix Bleed», CVE-2025-5777 — «Citrix Bleed 2», а также CVE-2025-6543 и CVE-2025-7775. Каждый раз организации, затянувшие с обновлением, платили за это утечками и компрометацией данных.
Рекомендация для всех, кто эксплуатирует затронутые версии NetScaler с конфигурацией SAML IDP, сформулирована предельно прямо: бросайте всё и патчите немедленно. Угроза уже не теоретическая — идёт активная эксплуатация, и каждый час промедления увеличивает риск утечки конфиденциальных данных из памяти устройства.
