Критична уразливість CVE-2026-3055 у продуктах Citrix NetScaler ADC та NetScaler Gateway з оцінкою CVSS 9.3 вже активно вивчається кіберзлочинцями. Дослідницькі групи Defused Cyber та watchTowr фіксують у публічному інтернеті масштабну розвідку (reconnaissance) екземплярів NetScaler, що свідчить про підготовчу фазу перед можливою масовою експлуатацією.
CVE-2026-3055: суть критичної уразливості Citrix NetScaler
Уразливість CVE-2026-3055 зумовлена некоректною валідацією вхідних даних, яка призводить до читання пам’яті за межами допустимих областей (memory overread). Тобто компонент NetScaler може повернути фрагменти пам’яті, які не призначені для поточного запиту, що відкриває можливість витоку конфіденційних даних.
На відміну від класичної віддаленої експлуатації з виконанням коду, memory overread найчастіше використовується для витоку інформації: токенів сесій, облікових даних, криптографічних матеріалів, внутрішніх ідентифікаторів тощо. Такі дані часто стають «вхідною точкою» для подальшого руху зловмисника всередині мережі.
За інформацією Citrix, CVE-2026-3055 може бути успішно використана, якщо NetScaler сконфігуровано як SAML Identity Provider (SAML IDP), тобто як провайдер єдиного входу (SSO) для інших систем. У такому режимі в пам’яті пристрою обробляються чутливі SAML-артефакти, що значно підвищує цінність атаки для зловмисників.
Як зловмисники виявляють уразливі Citrix NetScaler в інтернеті
Defused Cyber фіксує у своїй honeypot-інфраструктурі характерну активність, яку дослідники описують як auth method fingerprinting — своєрідне «зондування» методів аутентифікації на Citrix NetScaler ADC і Gateway. Потенційні атакувальники масово звертаються до ендпоінта /cgi/GetAuthMethods, щоби перелічити доступні та увімкнені схеми аутентифікації на цілі.
Мета таких запитів — з’ясувати, чи використовується конкретний NetScaler як SAML IDP і, відповідно, чи є сенс вкладати ресурси в подальшу експлуатацію саме CVE-2026-3055. Платформа watchTowr підтверджує аналогічну картину у власній мережі пасток, що свідчить про системну розвідку NetScaler-пристроїв у глобальному масштабі.
Які версії Citrix NetScaler вразливі до CVE-2026-3055
За офіційними даними Citrix, уразливість CVE-2026-3055 зачіпає такі версії:
NetScaler ADC та NetScaler Gateway:
— гілка 14.1 до версії 14.1-66.59 (не включно);
— гілка 13.1 до версії 13.1-62.23 (не включно).
Спеціалізовані збірки NetScaler ADC:
— 13.1-FIPS та 13.1-NDcPP до версії 13.1-37.262 (не включно).
Найвищий рівень ризику мають організації, які поєднують ці версії з роллю SAML IDP та використанням NetScaler як зовнішнього VPN-шлюзу або точки єдиного входу до критично важливих бізнес-сервісів. Для таких середовищ оновлення має розглядатися як невідкладний пріоритет безпеки.
Бізнес-ризики та уроки попередніх атак на Citrix
Продукти Citrix NetScaler вже неодноразово ставали мішенню широко масштабованих кампаній. У попередні роки активно експлуатувалися вразливості CVE-2023-4966 (Citrix Bleed), а також нові критичні дефекти CVE-2025-5777 (так званий Citrix Bleed 2), CVE-2025-6543 та CVE-2025-7775. Ці ланцюжки атак використовувалися для обходу аутентифікації, крадіжки сесій, побудови стійких точок доступу та руху в глиб корпоративних мереж.
Практика показує, що фаза розвідки майже завжди передує хвилі масової експлуатації. За оцінками watchTowr, коли зловмисники переходять від сканування до автоматизованих експлойтів, «вікно для ефективного реагування практично зникає». Для організацій, де NetScaler є ключовою ланкою віддаленого доступу, компрометація такого вузла часто рівнозначна втраті контролю над великим сегментом інфраструктури.
Практичні кроки захисту Citrix NetScaler від CVE-2026-3055
Оновлення та управління активами
1. Негайне встановлення патчів. Усі вразливі версії Citrix NetScaler ADC та Gateway мають бути оперативно оновлені до виправлених релізів. Це особливо критично для екземплярів, які виконують роль SAML IDP або опубліковані безпосередньо в інтернеті як VPN-шлюз.
2. Інвентаризація NetScaler-екземплярів. Важливо виконати повну інвентаризацію: визначити, де саме розгорнуті NetScaler, які версії прошивки використовуються, чи активована роль SAML IDP та які сервіси до них підключені. Це дозволяє правильно розставити пріоритети оновлення.
Моніторинг, виявлення та обмеження впливу
3. Аналіз логів та мережевої активності. Рекомендується налаштувати пошук звернень до ендпоінта /cgi/GetAuthMethods та виявлення аномальних запитів із зовнішніх IP-адрес. Нетривіальні або масові запити до цього шляху можуть свідчити про підготовку до експлуатації CVE-2026-3055.
4. Посилення периметру та сегментація. Доцільно обмежити доступ до адміністративних інтерфейсів NetScaler, застосовувати VPN та многофакторну аутентифікацію для адміністраторів, а також використовувати мережеву сегментацію. Це зменшить масштаб потенційних наслідків навіть у разі успішної атаки.
З огляду на високу критичність CVE-2026-3055 і факт, що активна розвідка Citrix NetScaler уже триває, зволікання з оновленням, аудитом конфігурацій SAML та впровадженням моніторингу створює суттєві ризики витоку даних і подальшого компрометування внутрішніх систем. Організаціям, які покладаються на Citrix для забезпечення віддаленого доступу та єдиного входу, варто сприймати реагування на цю уразливість як ключовий крок до підвищення кіберстійкості та привід переглянути загальну стратегію захисту периметру.
