Критическая уязвимость в Citrix NetScaler ADC и NetScaler Gateway, обозначенная как CVE-2026-3055 с оценкой CVSS 9.3, уже привлекла внимание злоумышленников. По данным исследовательских групп Defused Cyber и watchTowr, в интернете фиксируется активная разведка (reconnaissance) уязвимых экземпляров, что указывает на подготовительную фазу к массовой эксплуатации.
Критическая уязвимость Citrix NetScaler: суть проблемы CVE-2026-3055
Уязвимость CVE-2026-3055 связана с недостаточной валидацией входных данных, которая приводит к чтению памяти за пределами допустимых границ (memory overread). Такой дефект не всегда позволяет сразу выполнять произвольный код, но открывает путь к утечке конфиденциальной информации из памяти устройства.
По информации Citrix, успешная эксплуатация уязвимости возможна только в том случае, если устройство сконфигурировано как SAML Identity Provider (SAML IDP) — то есть используется как провайдер единого входа (SSO) для других систем. В этом случае в памяти NetScaler могут находиться токены, учетные данные и другие чувствительные данные, представляющие особую ценность для атакующих.
Как атакующие ищут уязвимые Citrix NetScaler в интернете
Исследователи Defused Cyber сообщают, что наблюдают в полевых условиях так называемый auth method fingerprinting — пальпацию методов аутентификации на Citrix NetScaler ADC и Gateway. Злоумышленники активно обращаются к эндпоинту /cgi/GetAuthMethods, чтобы перечислить доступные и включённые схемы аутентификации на устройстве.
Такие запросы фиксируются в honeypot-инфраструктуре исследователей и призваны ответить на ключевой вопрос для атакующих: настроен ли конкретный NetScaler как SAML IDP и стоит ли тратить время на попытку эксплуатации CVE-2026-3055. Аналогичную картину подтверждает платформа watchTowr, которая также регистрирует активную разведку NetScaler-экземпляров в своей сети ловушек.
Затронутые версии Citrix NetScaler ADC и Gateway
По данным Citrix, уязвимость CVE-2026-3055 затрагивает следующие версии продуктов:
NetScaler ADC и NetScaler Gateway:
— версии 14.1 до 14.1-66.59 (не включительно);
— версии 13.1 до 13.1-62.23 (не включительно).
Специализированные сборки NetScaler ADC:
— 13.1-FIPS и 13.1-NDcPP до версии 13.1-37.262 (не включительно).
Организации, использующие перечисленные версии в связке с ролью SAML IDP, попадают в зону максимального риска и должны отнестись к рекомендации по обновлению как к критическому приоритету.
Риски для бизнеса и контекст прошлых атак на Citrix
Citrix NetScaler уже не впервые оказывается в центре внимания киберпреступников. В последние годы активно эксплуатировались уязвимости CVE-2023-4966 (Citrix Bleed), а также новые критические дефекты CVE-2025-5777 (Citrix Bleed 2), CVE-2025-6543 и CVE-2025-7775. Эти уязвимости применялись для обхода аутентификации, кражи сессий и последующего проникновения в корпоративные сети.
С учетом этой истории, специалисты отмечают: появление разведывательной активности почти всегда предшествует массовой эксплуатации. Как подчеркивает watchTowr, в момент, когда злоумышленники перейдут от сканирования к реальным атакам, «окно для реагирования практически исчезнет».
Рекомендации по защите Citrix NetScaler и минимизации ущерба
1. Немедленное обновление
Организациям, использующим уязвимые версии Citrix NetScaler ADC и Gateway, рекомендуется оперативно установить последние доступные патчи от Citrix. Особенно это критично, если устройство работает как SAML IDP или используется в качестве внешнего VPN/доступа.
2. Инвентаризация и проверка конфигураций
Важно точно определить, какие экземпляры NetScaler развернуты в инфраструктуре, какие версии они используют и включена ли роль SAML IDP. Это позволит правильно приоритизировать работы по обновлению и усилению защиты.
3. Мониторинг логов и сетевой активности
Рекомендуется настроить поиск обращений к эндпоинту /cgi/GetAuthMethods и аномальной активности со стороны внешних IP-адресов. Выявление подозрительных запросов может указывать на попытки разведки и подготовку к атаке.
4. Усиление периметра и сегментация
По возможности стоит ограничить доступ к административным интерфейсам NetScaler, использовать VPN и многофакторную аутентификацию для администраторов, а также применять сетевую сегментацию, чтобы минимизировать потенциальный ущерб в случае компрометации.
С учетом высокой критичности CVE-2026-3055 и факта, что разведка уязвимых Citrix NetScaler уже активно ведётся, откладывать обновление и проверку конфигураций крайне рискованно. Чем быстрее будут установлены патчи, настроен мониторинг и проведен аудит SAML-настроек, тем выше шанс предотвратить утечку данных и последующие атаки на внутреннюю инфраструктуру. Для компаний, полагающихся на Citrix в организации удаленного доступа и единого входа, своевременное реагирование на эту уязвимость становится одним из ключевых шагов по укреплению киберустойчивости.
