Citrix выпустила экстренные обновления безопасности для двух уязвимостей в своих продуктах NetScaler ADC и NetScaler Gateway. Обе бреши затрагивают сетевые устройства, которые массово используются в корпоративных средах, и одна из них получила критический рейтинг 9.3 балла по шкале CVSS. Пока подтвержденных случаев эксплуатации в «дикой природе» нет, но история с NetScaler-устройствами говорит сама за себя: злоумышленники их очень любят как точку входа в корпоративные сети.
Первая уязвимость, CVE-2026-3055, связана с недостаточной валидацией входных данных, из-за чего возникает возможность чтения за пределами выделенной области памяти (out-of-bounds read). На практике это означает, что неавторизованный удалённый атакующий может вытащить из памяти устройства потенциально чувствительную информацию. Рейтинг 9.3 по CVSS — это почти потолок, и присвоен он не просто так.
Есть существенная оговорка: устройства в конфигурации по умолчанию этой уязвимости не подвержены. Проблема проявляется только в том случае, если NetScaler настроен как SAML Identity Provider. Администраторы могут проверить свою конфигурацию, поискав строку
Бенджамин Харрис, CEO и основатель компании watchTowr, специализирующейся на кибербезопасности, обратил внимание на то, что CVE-2026-3055 «подозрительно похожа» на предыдущие крупные уязвимости, известные как Citrix Bleed (CVE-2023-4966) и Citrix Bleed 2 (CVE-2025-5777). Обе эти бреши в своё время активно эксплуатировались хакерами и наделали немало шума.
Вторая уязвимость, CVE-2026-4368, получила оценку 7.7 по CVSS. Она связана с состоянием гонки (race condition), из-за которого может произойти подмена пользовательских сессий. Представьте: вы залогинились в корпоративную VPN, а оказались в чужой сессии с чужими правами. Или наоборот, кто-то оказался в вашей. Последствия могут быть самыми непредсказуемыми.
Эта уязвимость затрагивает устройства, сконфигурированные как шлюз (SSL VPN, ICA Proxy, CVPN, RDP Proxy) или как сервер аутентификации, авторизации и учёта (AAA). Проверить, попадает ли конфигурация в зону риска, можно по строкам
Уязвимости затрагивают NetScaler ADC и NetScaler Gateway версий 14.1 (до сборки 14.1-66.59), версий 13.1 (до сборки 13.1-62.23), а также NetScaler ADC 13.1-FIPS и 13.1-NDcPP (до сборки 13.1-37.262). Все, кто работает на этих версиях, должны обновиться.
У NetScaler-устройств довольно богатая и неприятная история с уязвимостями. Помимо уже упомянутых Citrix Bleed и Citrix Bleed 2, в списке ранее эксплуатировавшихся брешей фигурируют CVE-2025-6543 и CVE-2025-7775. Каждый раз сценарий примерно один и тот же: публикация уязвимости, потом лихорадочный патчинг, а между ними — окно возможностей для атакующих.
«Защитникам нужно действовать быстро и патчить срочно, поскольку скорая эксплуатация крайне вероятна», — предупреждает Бенджамин Харрис. По его словам, NetScaler-устройства постоянно становятся мишенью для первичного проникновения в корпоративные среды, и каждая новая критическая уязвимость в них — это, по сути, приглашение для злоумышленников.
Компания Rapid7 и аналитики из watchTowr сходятся в оценке: медлить с установкой обновлений нельзя. Учитывая, что CVE-2026-3055 напоминает по своей природе уже многократно использованные в атаках бреши, временное окно между публикацией патча и началом массовой эксплуатации может оказаться очень коротким. Кто не обновится в ближайшие дни, рискует стать следующей жертвой.
Изображение носит иллюстративный характер
Первая уязвимость, CVE-2026-3055, связана с недостаточной валидацией входных данных, из-за чего возникает возможность чтения за пределами выделенной области памяти (out-of-bounds read). На практике это означает, что неавторизованный удалённый атакующий может вытащить из памяти устройства потенциально чувствительную информацию. Рейтинг 9.3 по CVSS — это почти потолок, и присвоен он не просто так.
Есть существенная оговорка: устройства в конфигурации по умолчанию этой уязвимости не подвержены. Проблема проявляется только в том случае, если NetScaler настроен как SAML Identity Provider. Администраторы могут проверить свою конфигурацию, поискав строку
add authentication samlIdPProfile.. Если она находится — устройство в зоне риска. Бенджамин Харрис, CEO и основатель компании watchTowr, специализирующейся на кибербезопасности, обратил внимание на то, что CVE-2026-3055 «подозрительно похожа» на предыдущие крупные уязвимости, известные как Citrix Bleed (CVE-2023-4966) и Citrix Bleed 2 (CVE-2025-5777). Обе эти бреши в своё время активно эксплуатировались хакерами и наделали немало шума.
Вторая уязвимость, CVE-2026-4368, получила оценку 7.7 по CVSS. Она связана с состоянием гонки (race condition), из-за которого может произойти подмена пользовательских сессий. Представьте: вы залогинились в корпоративную VPN, а оказались в чужой сессии с чужими правами. Или наоборот, кто-то оказался в вашей. Последствия могут быть самыми непредсказуемыми.
Эта уязвимость затрагивает устройства, сконфигурированные как шлюз (SSL VPN, ICA Proxy, CVPN, RDP Proxy) или как сервер аутентификации, авторизации и учёта (AAA). Проверить, попадает ли конфигурация в зону риска, можно по строкам
add authentication vserver. для AAA-сервера и add vpn vserver. для шлюза. Уязвимости затрагивают NetScaler ADC и NetScaler Gateway версий 14.1 (до сборки 14.1-66.59), версий 13.1 (до сборки 13.1-62.23), а также NetScaler ADC 13.1-FIPS и 13.1-NDcPP (до сборки 13.1-37.262). Все, кто работает на этих версиях, должны обновиться.
У NetScaler-устройств довольно богатая и неприятная история с уязвимостями. Помимо уже упомянутых Citrix Bleed и Citrix Bleed 2, в списке ранее эксплуатировавшихся брешей фигурируют CVE-2025-6543 и CVE-2025-7775. Каждый раз сценарий примерно один и тот же: публикация уязвимости, потом лихорадочный патчинг, а между ними — окно возможностей для атакующих.
«Защитникам нужно действовать быстро и патчить срочно, поскольку скорая эксплуатация крайне вероятна», — предупреждает Бенджамин Харрис. По его словам, NetScaler-устройства постоянно становятся мишенью для первичного проникновения в корпоративные среды, и каждая новая критическая уязвимость в них — это, по сути, приглашение для злоумышленников.
Компания Rapid7 и аналитики из watchTowr сходятся в оценке: медлить с установкой обновлений нельзя. Учитывая, что CVE-2026-3055 напоминает по своей природе уже многократно использованные в атаках бреши, временное окно между публикацией патча и началом массовой эксплуатации может оказаться очень коротким. Кто не обновится в ближайшие дни, рискует стать следующей жертвой.
