CitrixBleed 3: Bên trong lỗ hổng đọc bộ nhớ CVE-2026-3055 trên Citrix NetScaler
CVE 2026 3055 là lỗ hổng đọc bộ nhớ trước xác thực (CVSS 9.3) trên Citrix NetScaler ADC và Gateway, cho phép tin tặc từ xa rò rỉ token phiên, thông tin LDAP và khóa ký SAML. Lỗ hổng bị khai thác chỉ 4 ngày sau khi Citrix công bố bản vá, với các chiến dịch quét quy mô lớn sử dụng mạng proxy dân cư.
Search & fact-check with cited sources for What is CVE-2026-8451, a newly disclosed memory-disclosure vulnerability in Citrix NetScaler applCVE-2026-3055 represents the third major memory disclosure vulnerability in the Citrix NetScaler Bleed series, carrying a CVSS score of 9.3 and enabling unauthenticated session token theft.
Prompt AI
Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is CVE-2026-8451, a newly disclosed memory-disclosure vulnerability in Citrix NetScaler appl. Article summary: **Correction:** The CVE you asked about — **CVE-2026-8451** — does not appear in any current security advisory or disclosure. The vulnerability being actively discussed under the "CitrixBleed 3" name is **CVE-2026-3055**. Topic tags: general, government, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, ch
openai.com
Lỗ hổng CVE-2026-3055 (CitrixBleed 3) là gì?
CVE-2026-3055 là một lỗ hổng đọc bộ nhớ (memory overread) trước xác thực, mức độ nghiêm trọng tới 9.3 trên thang CVSS, ảnh hưởng đến Citrix NetScaler ADC và NetScaler Gateway . Lỗ hổng này cho phép tin tặc từ xa không cần xác thực đánh cắp dữ liệu nhạy cảm từ bộ nhớ thiết bị, bao gồm token phiên đang hoạt động và thông tin đăng nhập. Citrix đã công bố lỗ hổng vào ngày 23 tháng 3 năm 2026 thông qua cảnh báo CTX696300 . Đây là lỗ hổng thứ ba trong loạt lỗ hổng "Bleed", sau CVE-2023-4966 ("CitrixBleed") và CVE-2025-5777 ("CitrixBleed 2") .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Câu trả lời ngắn gọn cho "CitrixBleed 3: Bên trong lỗ hổng đọc bộ nhớ CVE-2026-3055 trên Citrix NetScaler" là gì?
CVE 2026 3055 là lỗ hổng đọc bộ nhớ trước xác thực (CVSS 9.3) trên Citrix NetScaler ADC và Gateway, cho phép tin tặc từ xa rò rỉ token phiên, thông tin LDAP và khóa ký SAML.
Những điểm chính cần xác nhận đầu tiên là gì?
CVE 2026 3055 là lỗ hổng đọc bộ nhớ trước xác thực (CVSS 9.3) trên Citrix NetScaler ADC và Gateway, cho phép tin tặc từ xa rò rỉ token phiên, thông tin LDAP và khóa ký SAML. Lỗ hổng bị khai thác chỉ 4 ngày sau khi Citrix công bố bản vá, với các chiến dịch quét quy mô lớn sử dụng mạng proxy dân cư.
Tôi nên làm gì tiếp theo trong thực tế?
Ảnh hưởng đến mọi thiết bị NetScaler được cấu hình làm SAML IdP; khắc phục khẩn cấp bằng cách cập nhật phiên bản đã vá và thu hồi toàn bộ token, bí mật trong luồng định danh.
Việc kiểm tra đầu vào không đầy đủ dẫn đến đọc bộ nhớ ngoài giới hạn cho phép (CWE-125) . Thiết bị không xác thực đúng các tham số cụ thể trong yêu cầu xác thực SAML và WS-Federation.
Các vector tấn công
Gửi yêu cầu HTTP giả mạo tới /saml/login mà không có trường AssertionConsumerServiceURL
Gửi yêu cầu giả mạo tới /wsfed/passive?wctx với giá trị wctx trống
Những yêu cầu này kích hoạt quá trình đọc bộ nhớ vượt quá giới hạn, và thiết bị sẽ trả về nội dung bộ nhớ trong phản hồi HTTP .
Mức độ phức tạp của việc khai thác
Việc khai thác được mô tả là "cực kỳ đơn giản" — chỉ cần một yêu cầu HTTP GET hoặc POST duy nhất là đủ . Không cần công cụ đặc biệt, xác thực hay sự tương tác của người dùng .
Dữ liệu bị rò rỉ
Token phiên đang hoạt động: cookie NSC_AAAC, NSC_TMAS, NSC_TASS
Thông tin đăng nhập LDAP
Khóa ký SAML
Các bí mật khác có trong bộ nhớ quá trình
Dữ liệu bị rò rỉ xuất hiện dưới dạng mã hóa base64 bên trong phản hồi NSC_TASS.
Dòng thời gian khai thác
Ngày
Sự kiện
23/03/2026
Citrix công bố cảnh báo CTX696300 và phát hành bản vá
27/03/2026
watchTowr Labs xác nhận hoạt động trinh sát và khai thác từ các địa chỉ IP của tác nhân đe dọa đã biết — chỉ 4 ngày sau khi công bố
30/03/2026
Nhiều công ty bảo mật xác nhận hoạt động khai thác đang diễn ra
~31/03/2026
CISA thêm CVE-2026-3055 vào danh mục Lỗ hổng đã bị khai thác (KEV)
Tháng 4–5/2026
Quét hàng loạt được quan sát; mã khai thác và PoC lan truyền rộng rãi
Đầu tháng 6/2026
Chiến dịch khai thác quy mô lớn bước vào làn sóng mới, nhắm vào các thiết bị chưa vá
Cơ sở hạ tầng tấn công
Mạng proxy dân cư
Tin tặc sử dụng hàng nghìn địa chỉ IP proxy dân cư để thực hiện trinh sát và khai thác, khiến việc chặn theo IP nguồn trở nên vô hiệu .
Các IP của tác nhân đe dọa đã biết
watchTowr báo cáo các địa chỉ IP nguồn cụ thể liên quan đến các nhóm tác nhân đe dọa bắt đầu khai thác từ ngày 27 tháng 3 .
Quét tự động
GreyNoise và các nền tảng thông tin tình báo về mối đe dọa khác đã phát hiện quét hàng loạt các điểm cuối dễ bị tấn công (/saml/login, /wsfed/passive) trong vòng vài ngày sau khi công bố .
Tác động
Chiếm quyền phiên và vượt qua MFA
Tin tặc có thể đánh cắp token phiên đang hoạt động từ bộ nhớ và sử dụng lại chúng để xác thực với tư cách bất kỳ người dùng nào, hoàn toàn vượt qua xác thực đa yếu tố .
Đánh cắp thông tin xác thực
Thông tin đăng nhập LDAP và khóa ký SAML trong bộ nhớ cũng có thể bị đánh cắp, cho phép tin tặc di chuyển ngang và duy trì truy cập lâu dài .
Thỏa hiệp luồng định danh
Vì lỗ hổng rò rỉ dữ liệu từ luồng của nhà cung cấp định danh, việc thu hồi tất cả các bí mật đã "chạm" vào luồng đó là bắt buộc sau sự cố .
Phạm vi ảnh hưởng
Tất cả các phiên bản NetScaler ADC và NetScaler Gateway được cấu hình làm cổng ảo Gateway hoặc AAA (đóng vai trò nhà cung cấp định danh kết nối internet) đều bị ảnh hưởng .
Khuyến nghị khắc phục
1. Vá lỗi ngay lập tức (Trong vòng 24–48 giờ đối với thiết bị kết nối internet)
Áp dụng các phiên bản đã được vá phát hành ngày 23 tháng 3 năm 2026, theo cảnh báo CTX696300 của Citrix:
NetScaler ADC & Gateway 14.1-66.59 trở lên
NetScaler ADC & Gateway 14.1-60.58
NetScaler ADC & Gateway 13.1-62.23 trở lên
NetScaler ADC 13.1-FIPS / NDcPP 13.1-37.262
2. Thu hồi tất cả token phiên
Sau khi vá, vô hiệu hóa tất cả cookie NSC_AAAC, NSC_TMAS và NSC_TASS hiện có và buộc tất cả người dùng xác thực lại .
3. Thu hồi tất cả bí mật trong luồng định danh
Thông tin đăng nhập LDAP, khóa ký SAML, mật khẩu tài khoản dịch vụ và bất kỳ bí mật nào khác đã có trong bộ nhớ thiết bị trong thời gian bị lộ .
4. Triển khai chữ ký phát hiện
Giám sát:
Các yêu cầu bất thường tới điểm cuối /saml/login và /wsfed/passive
Phản hồi HTTP có kích thước bất thường
Việc sử dụng lại token phiên bất ngờ
5. Phân đoạn mạng
Cô lập các thiết bị NetScaler khỏi mạng nội bộ nếu có thể và hạn chế kết nối ra bên ngoài từ thiết bị .
6. Cân nhắc giải pháp tạm thời
Nếu việc vá bị trì hoãn, hãy vô hiệu hóa các điểm cuối SAML và WS-Federation trên Gateway hoặc hạn chế quyền truy cập vào chúng thông qua quy tắc WAF/reverse-proxy. Vá lỗi là cách khắc phục duy nhất và hoàn chỉnh .
reddit.comCVE-2026-3055 & CVE-2026-4368: Inside the NetScaler "CitrixBleed 3" Memory Overread