CitrixBleed 3: нова критична вразливість CVE-2026-3055 у NetScaler – що варто знати кожному системному адміністратору
CVE 2026 3055 – критична вразливість (CVSS 9.3) Citrix NetScaler ADC та Gateway, що дозволяє неавтентифікованому атакуючому викрасти активні сесійні токени, LDAP облікові дані та ключі підпису SAML з оперативної пам'я... Експлуатація «тривіально проста» – достатньо одного HTTP запиту без автентифікації; перші атаки...
Search & fact-check with cited sources for What is CVE-2026-8451, a newly disclosed memory-disclosure vulnerability in Citrix NetScaler applCVE-2026-3055 represents the third major memory disclosure vulnerability in the Citrix NetScaler Bleed series, carrying a CVSS score of 9.3 and enabling unauthenticated session token theft.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is CVE-2026-8451, a newly disclosed memory-disclosure vulnerability in Citrix NetScaler appl. Article summary: **Correction:** The CVE you asked about — **CVE-2026-8451** — does not appear in any current security advisory or disclosure. The vulnerability being actively discussed under the "CitrixBleed 3" name is **CVE-2026-3055**. Topic tags: general, government, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, ch
openai.com
Важливе уточнення: У публічному просторі цю вразливість помилково називають CVE-2026-8451, однак правильний ідентифікатор – CVE 2026-3055 (разом із супутньою CVE-2026-4368). У статті розглядається саме CVE-2026-3055.
Що таке CVE-2026-3055?
CVE-2026-3055 – це критична (CVSS 9.3) вразливість типу «читання за межами буфера» (memory overread) у Citrix NetScaler ADC та NetScaler Gateway . Вона дозволяє неавтентифікованому віддаленому атакуючому витікати конфіденційні дані з пам'яті пристрою, зокрема активні сесійні токени та облікові дані.
Citrix оприлюднила інформацію про вразливість 23 березня 2026 року в бюлетені безпеки CTX696300 . Це третя вразливість у серії «Bleed», після CVE-2023-4966 («CitrixBleed») та CVE-2025-5777 («CitrixBleed 2») .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "CitrixBleed 3: нова критична вразливість CVE-2026-3055 у NetScaler – що варто знати кожному системному адміністратору"?
CVE 2026 3055 – критична вразливість (CVSS 9.3) Citrix NetScaler ADC та Gateway, що дозволяє неавтентифікованому атакуючому викрасти активні сесійні токени, LDAP облікові дані та ключі підпису SAML з оперативної пам'я...
What are the key points to validate first?
CVE 2026 3055 – критична вразливість (CVSS 9.3) Citrix NetScaler ADC та Gateway, що дозволяє неавтентифікованому атакуючому викрасти активні сесійні токени, LDAP облікові дані та ключі підпису SAML з оперативної пам'я... Експлуатація «тривіально проста» – достатньо одного HTTP запиту без автентифікації; перші атаки зафіксовано вже через 4 дні після публікації патчу (27 березня 2026).
What should I do next in practice?
Атаки використовують мережі резидентних проксі, що унеможливлює блокування за IP адресами; CISA додала вразливість до свого каталогу KEV.
Недостатня перевірка вхідних даних призводить до читання пам'яті за межами виділеного буфера (CWE-125) . Пристрій некоректно валідує певні параметри в запитах аутентифікації SAML та WS-Federation.
Вектори атаки
Надсилання сформованого HTTP-запиту на /saml/login без поля AssertionConsumerServiceURL
Надсилання сформованого запиту на /wsfed/passive?wctx з порожнім значенням wctx
Ці запити викликають переповнення буфера, і пристрій повертає вміст пам'яті у HTTP-відповіді .
Складність експлуатації
Експлуатація описується як «тривіально проста» – достатньо одного неавтентифікованого HTTP GET або POST запиту . Жодних спеціальних інструментів, автентифікації чи взаємодії з користувачем не потрібно .
LDAP облікові дані для зв'язування (bind credentials)
Ключі підпису SAML
Інші секрети, що знаходяться в пам'яті процесу
Витіклі дані з'являються у форматі base64 у відповіді NSC_TASS.
Хронологія експлуатації
Дата
Подія
2026-03-23
Citrix публікує бюлетень CTX696300 і випускає патчі
2026-03-27
watchTowr Labs підтверджує активну розвідку та експлуатацію з IP відомих хакерських груп – лише за 4 дні після оприлюднення
2026-03-30
Кілька компаній з кібербезпеки публічно підтверджують активну експлуатацію в дикій природі
~2026-03-31
CISA додає CVE-2026-3055 до свого каталогу Known Exploited Vulnerabilities (KEV)
2026-04–05
Масове сканування; PoC та експлойти активно поширюються
Початок червня 2026
Нова хвиля масштабної експлуатації, спрямована на незапатчені пристрої
Інфраструктура атак
Мережі резидентних проксі
Атакуючі використовують тисячі резидентних проксі-IP для розвідки та експлуатації, що робить блокування за IP-адресами неефективним .
Відомі IP-адреси зловмисників
watchTowr повідомила про конкретні IP-адреси джерел, пов'язані з відомими хакерськими групами, які почали експлуатацію 27 березня .
Автоматизоване сканування
Платформи кіберрозвідки, такі як GreyNoise, виявили масове сканування вразливих ендпоїнтів (/saml/login, /wsfed/passive) протягом кількох днів після оприлюднення .
Вплив
Викрадення сесій та обхід MFA
Атакуючі можуть викрасти активні сесійні токени з пам'яті та використати їх для автентифікації під будь-яким активним користувачем, повністю обходячи багатофакторну автентифікацію .
Крадіжка облікових даних
LDAP облікові дані та ключі підпису SAML також можуть бути викрадені, що дозволяє латеральне переміщення та отримання постійного доступу .
Компрометація шляху ідентифікації
Оскільки вразливість витікає матеріали зі шляху постачальника ідентифікації (IdP), після інциденту потрібна ротація всіх секретів, які «торкалися» цього шляху .
Сфера ураження
Усі екземпляри NetScaler ADC та NetScaler Gateway, налаштовані як Gateway або AAA віртуальний сервер (інтернет-орієнтована роль постачальника ідентифікації), є вразливими .
Рекомендації щодо захисту
1. Негайне встановлення патча (24–48 годин для інтернет-орієнтованих пристроїв)
Встановіть виправлені версії, випущені 23 березня 2026 року, згідно з бюлетенем CTX696300:
NetScaler ADC & Gateway 14.1-66.59 або новіша
NetScaler ADC & Gateway 14.1-60.58
NetScaler ADC & Gateway 13.1-62.23 або новіша
NetScaler ADC 13.1-FIPS / NDcPP 13.1-37.262
2. Обертання всіх сесійних токенів
Після встановлення патча анулюйте всі існуючі кукі NSC_AAAC, NSC_TMAS та NSC_TASS і примусово вимагайте повторної автентифікації для всіх користувачів .
3. Обертання всіх секретів у шляху ідентифікації
Оберніть LDAP облікові дані для зв'язування, ключі підпису SAML, паролі службових облікових записів та будь-які інші секрети, які були в пам'яті пристрою протягом періоду експлуатації .
4. Впровадження сигнатур виявлення
Моніторте:
Аномальні запити до /saml/login та /wsfed/passive ендпоїнтів
Незвично великі HTTP-відповіді
Неочікуване повторне використання сесійних токенів
5. Сегментація мережі
Ізолюйте пристрої NetScaler від внутрішньої мережі, де це можливо, та обмежте вихідне з'єднання з пристрою .
6. Тимчасові заходи обходу
Якщо встановлення патча затримується, тимчасово вимкніть SAML та WS-Federation ендпоїнти на Gateway або обмежте доступ до них через WAF/зворотний проксі-сервер. Встановлення патча є єдиним повноцінним рішенням .
reddit.comCVE-2026-3055 & CVE-2026-4368: Inside the NetScaler "CitrixBleed 3" Memory Overread