CitrixBleed 3: Uvnitř kritické paměťové zranitelnosti CVE-2026-3055 v NetScaleru
CVE 2026 3055 je kritická (CVSS 9.3) zranitelnost typu memory overread v Citrix NetScaler ADC a Gateway, kterou lze zneužít bez autentizace. Útočník dokáže jedním HTTP požadavkem uniknout aktivní session tokeny (NSC AAAC, NSC TMAS, NSC TASS), LDAP přihlašovací údaje a SAML klíče.
Search & fact-check with cited sources for What is CVE-2026-8451, a newly disclosed memory-disclosure vulnerability in Citrix NetScaler applCVE-2026-3055 represents the third major memory disclosure vulnerability in the Citrix NetScaler Bleed series, carrying a CVSS score of 9.3 and enabling unauthenticated session token theft.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is CVE-2026-8451, a newly disclosed memory-disclosure vulnerability in Citrix NetScaler appl. Article summary: **Correction:** The CVE you asked about — **CVE-2026-8451** — does not appear in any current security advisory or disclosure. The vulnerability being actively discussed under the "CitrixBleed 3" name is **CVE-2026-3055**. Topic tags: general, government, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, ch
openai.com
Oprava: Žádná zranitelnost s označením CVE-2026-8451 neexistuje v žádném aktuálním bezpečnostním bulletinu. Chyba veřejně diskutovaná pod názvem „CitrixBleed 3“ je CVE-2026-3055 (spolu s doprovodnou CVE-2026-4368). Tento článek se věnuje výhradně CVE-2026-3055.
Co je CVE-2026-3055?
CVE-2026-3055 je kritická (CVSS 9.3) zranitelnost typu memory overread, kterou lze zneužít bez předchozí autentizace . Nachází se v zařízeních Citrix NetScaler ADC a NetScaler Gateway. Umožňuje neautentizovanému útočníkovi na dálku uniknout citlivá data z paměti zařízení, včetně aktivních session tokenů a přihlašovacích údajů. Citrix zranitelnost zveřejnil 23. března 2026 v bulletinu CTX696300 . Jedná se o třetí díl série příbuzných zranitelností „Bleed“, která zahrnuje CVE-2023-4966 („CitrixBleed“) a CVE-2025-5777 („CitrixBleed 2“) .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "CitrixBleed 3: Uvnitř kritické paměťové zranitelnosti CVE-2026-3055 v NetScaleru"?
CVE 2026 3055 je kritická (CVSS 9.3) zranitelnost typu memory overread v Citrix NetScaler ADC a Gateway, kterou lze zneužít bez autentizace.
What are the key points to validate first?
CVE 2026 3055 je kritická (CVSS 9.3) zranitelnost typu memory overread v Citrix NetScaler ADC a Gateway, kterou lze zneužít bez autentizace. Útočník dokáže jedním HTTP požadavkem uniknout aktivní session tokeny (NSC AAAC, NSC TMAS, NSC TASS), LDAP přihlašovací údaje a SAML klíče.
What should I do next in practice?
První náznaky zneužívání se objevily už 4 dny po zveřejnění záplaty; masivní skenování a exploitace probíhají od dubna do června 2026.
Nedostatečná validace vstupů vede k čtení mimo vymezenou paměť (CWE-125) . Zařízení nesprávně zpracovává specifické parametry v SAML a WS-Federation autentizačních požadavcích.
Vektory útoku
Odeslání chybně formátovaného HTTP požadavku na /saml/login bez pole AssertionConsumerServiceURL
Odeslání chybně formátovaného požadavku na /wsfed/passive?wctx s prázdnou hodnotou wctx
Tyto požadavky spustí nadměrné čtení paměti a zařízení vrátí obsah paměti v HTTP odpovědi .
Náročnost zneužití
Zneužití je označováno jako „triviálně jednoduché“ – stačí jediný neautentizovaný HTTP GET nebo POST požadavek . Není potřeba žádný speciální nástroj, autentizace ani interakce uživatele .
Uniknutá data
Aktivní session tokeny: NSC_AAAC, NSC_TMAS, NSC_TASS cookies
LDAP přihlašovací údaje (bind credentials)
SAML podpisové klíče
Další tajemství přítomná v paměti procesu
Uniklá data jsou v odpovědi zakódována pomocí base64 v poli NSC_TASS.
Časová osa zneužívání
Datum
Událost
23. 3. 2026
Citrix zveřejňuje bulletin CTX696300 a vydává záplaty
27. 3. 2026
watchTowr Labs potvrzuje aktivní průzkum a zneužívání z IP adres známých hrozeb – pouhé 4 dny po zveřejnění
30. 3. 2026
Několik bezpečnostních firem veřejně potvrzuje aktivní zneužívání v praxi
~31. 3. 2026
CISA přidává CVE-2026-3055 do katalogu známých zneužívaných zranitelností (KEV)
Duben–květen 2026
Masivní skenování; proof-of-concept a exploit kódy se šíří
Začátek června 2026
Nová vlna rozsáhlé exploitace zaměřená na neopravená zařízení
Útočná infrastruktura
Sítě rezidenčních proxy
Útočníci používají tisíce IP adres z rezidenčních proxy sítí k průzkumu a zneužívání, což znemožňuje blokování podle zdrojové IP .
Známé IP adresy hrozeb
watchTowr uvedl konkrétní zdrojové IP adresy spojené se známými skupinami hrozeb, které začaly útočit 27. března .
Automatizované skenování
Platformy jako GreyNoise detekovaly masivní skenování zranitelných koncových bodů (/saml/login, /wsfed/passive) během několika dnů od zveřejnění .
Dopad
Hijacking session tokenů a obcházení MFA
Útočníci mohou ukrást aktivní session tokeny z paměti a použít je k autentizaci jako kterýkoli aktivní uživatel, čímž zcela obcházejí vícefaktorové ověřování .
Krádež přihlašovacích údajů
LDAP přihlašovací údaje a SAML podpisové klíče v paměti mohou být rovněž exfiltrovány, což umožňuje laterální pohyb a trvalý přístup .
Kompromitace identitní cesty
Vzhledem k tomu, že chyba uniká materiál z cesty poskytovatele identity, je po incidentu nutná rotace všech tajemství, která touto cestou prošla .
Rozsah
Všechny instance NetScaler ADC a NetScaler Gateway nakonfigurované jako Gateway nebo AAA virtuální server (role poskytovatele identity přístupného z internetu) jsou zranitelné .
Doporučení pro zmírnění rizik
1. Okamžitě aplikujte záplatu (do 24–48 hodin u zařízení přístupných z internetu)
Použijte opravené verze vydané 23. března 2026 podle bulletinu Citrix CTX696300:
NetScaler ADC & Gateway 14.1-66.59 nebo novější
NetScaler ADC & Gateway 14.1-60.58
NetScaler ADC & Gateway 13.1-62.23 nebo novější
NetScaler ADC 13.1-FIPS / NDcPP 13.1-37.262
2. Rotujte všechny session tokeny
Po aplikaci záplaty zneplatněte všechny stávající NSC_AAAC, NSC_TMAS a NSC_TASS cookies a vynuťte opětovnou autentizaci všech uživatelů .
3. Rotujte všechna tajemství v identitní cestě
LDAP přihlašovací údaje, SAML podpisové klíče, hesla servisních účtů a další tajemství, která byla v paměti zařízení během doby expozice .
4. Nasazení detekčních signatur
Sledujte:
Anomální požadavky na koncové body /saml/login a /wsfed/passive
Neobvykle velké HTTP odpovědi
Neočekávané opětovné použití session tokenů
5. Segmentace sítě
Pokud je to možné, izolujte zařízení NetScaler od interní sítě a omezte odchozí konektivitu ze zařízení .
6. Zvažte dočasná řešení
Pokud se záplatování zpozdí, zakažte koncové body SAML a WS-Federation na bráně nebo omezte přístup k nim pomocí pravidel WAF/reverzního proxy. Pouze záplata je úplným řešením .
reddit.comCVE-2026-3055 & CVE-2026-4368: Inside the NetScaler "CitrixBleed 3" Memory Overread