CitrixBleed 3: Внутреннее устройство уязвимости CVE-2026-3055 — утечка памяти в NetScaler
CVE 2026 3055 (CVSS 9.3) — критическая уязвимость pre auth memory overread в Citrix NetScaler ADC и Gateway, позволяющая удалённо без аутентификации похищать активные сессионные токены, LDAP учётные данные и ключи под... Эксплуатация началась уже через 4 дня после публикации бюллетеня Citrix (23 марта 2026 г.); CISA...
Search & fact-check with cited sources for What is CVE-2026-8451, a newly disclosed memory-disclosure vulnerability in Citrix NetScaler applCVE-2026-3055 represents the third major memory disclosure vulnerability in the Citrix NetScaler Bleed series, carrying a CVSS score of 9.3 and enabling unauthenticated session token theft.
Промпт ИИ
Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is CVE-2026-8451, a newly disclosed memory-disclosure vulnerability in Citrix NetScaler appl. Article summary: **Correction:** The CVE you asked about — **CVE-2026-8451** — does not appear in any current security advisory or disclosure. The vulnerability being actively discussed under the "CitrixBleed 3" name is **CVE-2026-3055**. Topic tags: general, government, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, ch
openai.com
Важное уточнение: Уязвимости с номером CVE-2026-8451 в текущих бюллетенях безопасности не существует. Проблема, известная как "CitrixBleed 3", имеет идентификатор CVE-2026-3055 (с сопутствующей CVE-2026-4368). Вся информация ниже относится именно к CVE-2026-3055.
Что такое CVE-2026-3055?
CVE-2026-3055 — это критическая (CVSS 9.3) уязвимость переполнения памяти (memory overread) без предварительной аутентификации в Citrix NetScaler ADC и Citrix NetScaler Gateway . Удалённый неавторизованный злоумышленник может заставить устройство раскрыть данные из оперативной памяти, включая сессионные токены и учётные данные. Компания Citrix раскрыла подробности 23 марта 2026 года в бюллетене CTX696300 . Это третья крупная уязвимость из серии "Bleed" после CVE-2023-4966 ("CitrixBleed") и CVE-2025-5777 ("CitrixBleed 2") .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Каков краткий ответ на вопрос «CitrixBleed 3: Внутреннее устройство уязвимости CVE-2026-3055 — утечка памяти в NetScaler»?
CVE 2026 3055 (CVSS 9.3) — критическая уязвимость pre auth memory overread в Citrix NetScaler ADC и Gateway, позволяющая удалённо без аутентификации похищать активные сессионные токены, LDAP учётные данные и ключи под...
Какие ключевые моменты необходимо проверить в первую очередь?
CVE 2026 3055 (CVSS 9.3) — критическая уязвимость pre auth memory overread в Citrix NetScaler ADC и Gateway, позволяющая удалённо без аутентификации похищать активные сессионные токены, LDAP учётные данные и ключи под... Эксплуатация началась уже через 4 дня после публикации бюллетеня Citrix (23 марта 2026 г.); CISA добавила уязвимость в каталог KEV к концу марта
Что мне делать дальше на практике?
Для эксплуатации достаточно одного GET или POST запроса к /saml/login или /wsfed/passive с повреждёнными параметрами — не требуются специальные инструменты или аутентификация
Недостаточная проверка входных данных приводит к чтению за границами буфера (CWE-125) . Устройство некорректно обрабатывает определённые параметры в запросах аутентификации по протоколам SAML и WS-Federation.
Векторы атаки
Отправка повреждённого HTTP-запроса на /saml/login без поля AssertionConsumerServiceURL
Отправка запроса на /wsfed/passive?wctx с пустым значением wctx
Такие манипуляции заставляют устройство отвечать содержимым оперативной памяти в HTTP-ответе .
Сложность эксплуатации
Эксплуатация описывается как "тривиально простая" — достаточно одного GET- или POST-запроса без аутентификации . Не требуется специальных инструментов, аутентификации или взаимодействия с пользователем .
Какие данные утекают
Активные сессионные токены: NSC_AAAC, NSC_TMAS, NSC_TASS cookies
Учётные данные для привязки LDAP
Ключи подписи SAML
Другие секреты, хранящиеся в памяти процесса
Утёкшие данные, как правило, закодированы в Base64 внутри ответа NSC_TASS.
Хронология эксплуатации
Дата
Событие
23 марта 2026 г.
Citrix публикует бюллетень CTX696300 и выпускает патчи
27 марта 2026 г.
watchTowr Labs подтверждает разведку и эксплуатацию с IP-адресов, связанных с известными угрозами — всего через 4 дня после раскрытия
30 марта 2026 г.
Несколько компаний по кибербезопасности официально подтверждают активную эксплуатацию
~31 марта 2026 г.
CISA добавляет CVE-2026-3055 в каталог известных эксплуатируемых уязвимостей (KEV)
Апрель – май 2026 г.
Массовое сканирование сетей; широкое распространение PoC-кода и эксплойтов
Начало июня 2026 г.
Новая волна масштабной эксплуатации, нацеленной на незапатченные устройства
Инфраструктура атак
Резидентные прокси-сети
Злоумышленники используют тысячи IP-адресов резидентных прокси для разведки и эксплуатации, делая блокировку по IP-адресу неэффективной .
IP-адреса известных угроз
watchTowr сообщила о конкретных IP-адресах, принадлежащих известным группам, которые начали эксплуатацию 27 марта .
Автоматизированное сканирование
GreyNoise и другие платформы киберразведки зафиксировали массовое сканирование уязвимых конечных точек (/saml/login, /wsfed/passive) в течение нескольких дней после раскрытия уязвимости .
Последствия
Перехват сессий и обход MFA
Злоумышленники могут украсть активные сессионные токены из памяти устройства и использовать их для аутентификации от имени любого активного пользователя, полностью обходя многофакторную аутентификацию (MFA) .
Кража учётных данных
LDAP-учётные данные и ключи подписи SAML также могут быть извлечены из памяти, что позволяет атакующим перемещаться по сети и закрепляться в инфраструктуре .
Компрометация Identity Path
Поскольку уязвимость раскрывает данные из пути Identity Provider, после инцидента требуется ротация всех секретов, "затронутых" этим путём .
Маcштаб
Уязвимы все экземпляры NetScaler ADC и Gateway, настроенные как Gateway или AAA-виртуальный сервер (выполняющие роль публичного Identity Provider) .
Рекомендации по защите
1. Немедленно установить патч (в течение 24–48 часов для публичных устройств)
Применить исправленные версии от 23 марта 2026 г. согласно бюллетеню CTX696300:
NetScaler ADC и Gateway 14.1-66.59 или новее
NetScaler ADC и Gateway 14.1-60.58
NetScaler ADC и Gateway 13.1-62.23 или новее
NetScaler ADC 13.1-FIPS / NDcPP 13.1-37.262
2. Сбросить все сессионные токены
После установки патча необходимо аннулировать все существующие cookies NSC_AAAC, NSC_TMAS и NSC_TASS и принудительно заставить всех пользователей пройти повторную аутентификацию .
3. Ротировать все секреты Identity Path
LDAP-учётные данные, ключи подписи SAML, пароли сервисных учётных записей и любые другие секреты, которые находились в памяти устройства во время возможной эксплуатации .
4. Развернуть сигнатуры обнаружения
Отслеживать:
Аномальные запросы к /saml/login и /wsfed/passive
Необычно большие HTTP-ответы
Неожиданное повторное использование сессионных токенов
5. Сегментация сети
Изолировать устройства NetScaler от внутренней сети, насколько это возможно, и ограничить исходящие соединения с устройства .
6. Рассмотреть временные обходные меры
Если патч невозможно установить немедленно, временно отключите конечные точки SAML и WS-Federation на Gateway или ограничьте доступ к ним через WAF/обратный прокси. Внимание: установка патча остаётся единственным полным решением .
reddit.comCVE-2026-3055 & CVE-2026-4368: Inside the NetScaler "CitrixBleed 3" Memory Overread